Java номын сангийн Log4j дахь алдар нэр хүндтэй эмзэг байдлын яаралтай засвар нь найдвартай биш юм. Apache Software Foundation нь эмзэг байдлыг нэг бүрчлэн засахын тулд шинэ хувилбарыг гаргаж байна.
Java-д зориулсан нэн алдартай номын сангийн эмзэг байдал нь дэлхийн мэдээллийн технологийн ландшафтыг доргиож байна. Номын сан нь ихэнх байгууллагын орчинд байдаг гэж үздэг.
Log4j нь ихэвчлэн мод бэлтгэхэд ашиглагддаг. Аппликешн дэх үйл явдлуудыг тэмдэглэлээр бүртгэж болно. Нэвтрэх оролдлогын дараа нэвтрэх дэлгэрэнгүй мэдээллийг хэвлэх талаар бодоорой. Эсвэл Java дахь вэб програмын хувьд хэрэглэгчийн холбогдохыг оролдож буй хөтчийн нэр.
Сүүлийн жишээнүүд нийтлэг байдаг. Аль ч тохиолдолд гадны хэрэглэгч Log4j-ийн гаргадаг бүртгэлд нөлөөлдөг. Энэ нөлөөг буруугаар ашиглах боломжтой. 4 оны 13-р сарын 2013-аас 5 оны 2021-р сарын XNUMX-ны хооронд ямар ч LogXNUMXj хувилбарын бүртгэлүүд нь Java программуудад локал төхөөрөмж дээрх алсын серверээс кодыг ажиллуулах зааварчилгаа өгөх боломжтой.
2013 оноос хойш Log4j нь API: JNDI буюу Java нэрлэх болон лавлах интерфейсийг боловсруулж байна. JNDI-г нэмснээр Java программыг локал төхөөрөмж дээрх алсын серверээс код ажиллуулах боломжийг олгодог. Программистууд программ дахь алсын серверийн талаарх дэлгэрэнгүй мэдээллийг нэг мөр нэмж зааж өгдөг.
Асуудал нь зөвхөн програмистууд төдийгүй програмуудад дүрмийг нэмж оруулах боломжтой байдаг. Log4j нь нэвтрэх оролдлогын хэрэглэгчийн нэрийг бүртгэдэг гэж бодъё. Хэрэглэгчийн нэрийн талбарт хэн нэгэн дээр дурдсан мөрийг оруулах үед Log4j мөрийг ажиллуулж, Java програм нь заасан сервер дээр кодыг ажиллуулах тушаалыг тайлбарладаг. Log4j нь HTTPS хүсэлтийг бүртгэдэг тохиолдлуудад мөн адил хамаарна. Хэрэв та хөтчийн нэрийг мөр болгон өөрчилвөл Log4j мөрийг ажиллуулж, кодыг хүссэнээр нь ажиллуулахыг шууд бусаар зааж өгнө.
Онцгой байдлын нөхөөс нь бас аюултай байж болно
Арванхоёрдугаар сарын 9-нд энэ эмзэг байдал өргөн цар хүрээтэй илэрсэн. Log4j-ийн хөгжүүлэгч Apache Software Foundation нь эмзэг байдлыг засах зорилгоор яаралтай засвар (2.15) гаргасан. Тэр цагаас хойш програм хангамж үйлдвэрлэгчдийн 2.15 хувилбарыг боловсруулж, байгууллагуудад засвар үйлчилгээ үзүүлэх нь нэн тэргүүний зорилт байсаар ирсэн.
Гэсэн хэдий ч LunaSec хамгаалалтын байгууллага уг засвар бүрэн ус нэвтэрдэггүй гэж мэдэгджээ. Тохиргоог тохируулах, JNDI командуудыг бүртгэх боломжтой хэвээр байна.
Анхаарна уу: 2.15-ын өөрчлөгдөөгүй хувилбарууд үнэхээр аюулгүй байхын тулд холбогдох тохиргоог гараар тохируулах ёстой. Гэсэн хэдий ч Luna Sec ханган нийлүүлэгчид болон байгууллагуудад Log4j 2.16 руу шинэчлэхийг зөвлөж байна. 2.16-г Apache Software Foundation-аас LunaSec-ийн хариу болгож нийтэлсэн. Шинэ хувилбар нь эмзэг тохиргоог бүрмөсөн устгаж, зүй бусаар ашиглах нөхцөлийг бүрдүүлэх боломжгүй болгосон.