Ny patch maika ho an'ny vulnerability malaza ao amin'ny tranomboky Java Log4j dia tsy adala. Ny Apache Software Foundation dia mamoaka dikan-teny vaovao hanamboarana ny vulnerable indray mandeha ary ho an'ny rehetra.
Ny vulnerable ao amin'ny tranomboky malaza be ho an'i Java dia manozongozona ny tontolon'ny IT manerantany. Tombanana fa misy ny tranomboky amin'ny ankamaroan'ny tontolo orinasa.
Log4j no tena ampiasaina amin'ny logging. Ny hetsika amin'ny fampiharana dia azo soratana amin'ny naoty. Eritrereto ny fanontana ny antsipirian'ny fidirana aorian'ny andrana fidirana. Na, amin'ny tranganà rindranasa an-tranonkala amin'ny Java, ny anaran'ny mpitety tranonkala ezahan'ny mpampiasa hifandray.
Ny ohatra farany dia mahazatra. Amin'ireo tranga roa ireo, ny mpampiasa ivelany dia misy fiantraikany amin'ny log izay avoakan'ny Log4j. Azo atao ny manararaotra izany fitaomana izany. Ny diarin'ny dikan-teny Log4j rehetra eo anelanelan'ny 13 septambra 2013 sy ny 5 desambra 2021 dia afaka mampianatra ny rindranasa Java hampandeha ny kaody avy amin'ny mpizara lavitra amin'ny fitaovana eo an-toerana.
Nanomboka tamin'ny 2013, Log4j dia nanodina API: JNDI, na Java Naming and Directory Interface. Ny fanampiana ny JNDI dia mamela ny fampiharana Java iray handefa code avy amin'ny mpizara lavitra amin'ny fitaovana eo an-toerana. Mampianatra ny programmer amin'ny fampidirana andalana tokana momba ny mpizara lavitra amin'ny fampiharana iray.
Ny olana dia tsy ny programmer ihany no afaka manampy ny fitsipika amin'ny fampiharana. Eritrereto hoe Log4j dia mametraka ny anaran'ny andrana fidirana. Rehefa misy olona miditra amin'ny andalana voalaza etsy ambony ao amin'ny saha solonanarana, Log4j no mitantana ny tsipika ary ny fampiharana Java dia mandika baiko iray hampandehanana ny kaody amin'ny lohamilina voatondro. Toy izany koa ny tranga misy ny Log4j mampiditra fangatahana HTTPS. Raha manova ny anaran'ny navigateur amin'ny tsipika ianao, Log4j dia mitantana ny tsipika, mampianatra azy ankolaka mba hampandeha kaody araka izay irinao.
Mety tsy azo antoka koa ny patch vonjy taitra
Tamin'ny 9 Desambra, nipoitra tamin'ny ambaratonga lehibe ny fahalemena. Ny Apache Software Foundation, mpamorona ny Log4j, dia namoaka patch maika (2.15) mba hamahana ny vulnerability. Nanomboka teo dia laharam-pahamehana ho an'ny mpivarotra rindrambaiko ny fanodinana ny version 2.15 ary manome patch ho an'ny fikambanana.
Na izany aza, nilaza ny fikambanana fiarovana LunaSec fa tsy feno rano tanteraka ilay patch. Mbola azo atao ihany ny manitsy toe-javatra iray ary manatanteraka ny baiko JNDI.
Azafady, azafady: tsy maintsy amboarina amin'ny tanana ny lamina mifandraika amin'izany, mba ho azo antoka tokoa ny variana tsy voaova amin'ny 2.15. Na izany aza, Luna Sec dia nanoro hevitra ny mpamatsy sy ny fikambanana hanavao ny Log4j 2.16. 2.16 dia navoakan'ny Apache Software Foundation ho setrin'ny LunaSec. Ny dikan-teny vaovao dia manaisotra tanteraka ny toerana vulnerable, ka tsy afaka mamorona fepetra ho an'ny fanararaotana.