Влијанието на озлогласената ранливост во Јава библиотеката Log4j продолжува. Иако најголемиот проблем беше решен со итната закрпа 2.16, оваа верзија исто така се чини дека е подложна на злоупотреба. Безбедносните истражувачи пронајдоа влез за напади на Denial of Service (DoS). Log4j 2.17 е објавен за да се затвори записот.
Apache, развивач на библиотеката Јава, ги советува организациите да ја применат лепенката за итни случаи. Тој совет се применува по трет пат откако беше откриено дека библиотеката е ранлива.
Пред една и пол недела, безбедносни истражувачи од Alibaba's cloud безбедносниот тим откри метод за злоупотреба на апликациите со Log4j. Log4j се користи во апликации за евидентирање настани. Се покажа дека е можно да се пристапи до апликациите со библиотеката однадвор со инструкции за извршување на малициозен софтвер. Злоупотребата трае малку повеќе од еден момент. Додадете на тоа проценетата појава на библиотеката во повеќето корпоративни средини и ќе го разберете обемот на катастрофата со која се соочува глобалниот ИТ пејзаж.
Програмерите на софтвер како Fortinet, Cisco, IBM и десетици други ја користат библиотеката во нивниот софтвер. Нивните програмери работеа прекувремено во текот на викендот на 11 декември за да ја обработат првата итна лепенка за ранливоста и да ја достават до организациите на корисници. Токму истиот дрифт се очекуваше и од ИТ тимовите во овие организации. Во светот се случија стотици илјади обиди за напад. Сите мораа да се префрлат на 2.15 што е можно поскоро - додека 2.15 исто така не беше откриено дека е ранливо.
Одредени конфигурации на библиотеката останаа можни во верзијата 2.15. Користењето на овие конфигурации ја овековечи ранливоста. Верзијата 2.16 ги направи конфигурациите невозможни, гарантирајќи нова закрпа. Често на жалост на веќе преоптоварените ИТ тимови. Сепак, секогаш може да биде полошо, бидејќи 2.16 има и болест.
Назад на почеток
Огромното глобално внимание на проблемот поттикна масовна светска истрага. Apache, развивач на библиотеката, се чини дека не може да здивне два дена без безбедносната компанија да укаже на нов, итен проблем.
Накратко, излегува дека е можно да се извршат десетици верзии на log4j – вклучително и 2.16 – со една линија (низа) за да започне вечна јамка што ја паѓа апликацијата. Условите што треба да ги исполни една средина за да биде злоупотребена се опсежни. Толку обемна што се оспорува практичната сериозност на проблемот. Закрпата е официјално препорачана, но не сите се убедени.
Повторно, не секој пример на Log4j е ранлив, туку само случаи кога библиотеката работи на сопствени поставки. На потенцијалниот напаѓач му треба и детален увид во тоа како функционира Log4j. Спротивно на почетната, лесно достапна ранливост.