Закрпата за итни случаи за злогласната ранливост во Јава библиотеката Log4j не е сигурен. Фондацијата за софтвер Apache издава нова верзија за да ја поправи ранливоста еднаш засекогаш.
Ранливост во многу популарна библиотека за Java го тресе глобалниот ИТ пејзаж. Се проценува дека библиотеката постои во повеќето корпоративни средини.
Log4j главно се користи за логирање. Настаните во апликациите може да се регистрираат со белешки. Размислете за отпечаток од деталите за најавување по обидот за најавување. Или, во случај на веб-апликација во Java, името на прелистувачот на кој корисникот се обидува да се поврзе.
Последниве примери се вообичаени. Во двата случаи, надворешен корисник влијае на дневникот што го прикажува Log4j. Можно е да се злоупотреби тоа влијание. Дневниците на која било верзија на Log4j помеѓу 13 септември 2013 и 5 декември 2021 година можат да им наложат на Java апликациите да го стартуваат кодот од оддалечен сервер на локален уред.
Од 2013 година, Log4j обработува API: JNDI, или Java Naming and Directory Interface. Додавањето на JNDI овозможува Java апликацијата да работи код од оддалечен сервер на локален уред. Програмерите упатуваат со додавање на една линија детали за оддалечениот сервер во апликацијата.
Проблемот е што не само програмерите можат да го додадат правилото на апликациите. Да претпоставиме дека Log4j ги евидентира корисничките имиња на обидите за најавување. Кога некој ќе ја внесе гореспоменатата линија во полето за корисничко име, Log4j ја извршува линијата и апликацијата Java интерпретира команда за извршување на кодот на наведениот сервер. Истото важи и за случаите кога Log4j евидентира барање за HTTPS. Ако го промените името на прелистувачот во линијата, Log4j ја извршува линијата, индиректно наложувајќи му да го изврши кодот по желба.
Закрпата за итни случаи исто така може да биде небезбедна
На 9 декември, ранливоста излезе на виделина во големи размери. Фондацијата за софтвер Apache, развивач на Log4j, објави итна лепенка (2.15) за да ја поправи ранливоста. Оттогаш, врвен приоритет за продавачите на софтвер е да ја обработат верзијата 2.15 и да обезбедат закрпа за организациите.
Сепак, безбедносната организација LunaSec наведува дека лепенката не е целосно водонепропустлива. Останува можно да се приспособат поставките и да се извршат најавените команди JNDI.
Ве молиме имајте предвид: соодветната поставка мора да се прилагоди рачно, така што немодифицираните варијанти од 2.15 се навистина безбедни. Сепак, Luna Sec препорачува добавувачите и организациите да се ажурираат на Log4j 2.16. 2.16 беше објавен од Apache Software Foundation како одговор на LunaSec. Новата верзија целосно ја отстранува ранливата поставка, што го оневозможува создавањето услови за злоупотреба.