Kesan kelemahan terkenal dalam perpustakaan Java Log4j berlarutan. Walaupun masalah terbesar telah diselesaikan dengan tampung mendesak 2.16, versi ini juga nampaknya terdedah kepada penyalahgunaan. Penyelidik keselamatan menemui pintu masuk untuk serangan Penafian Perkhidmatan (DoS). Log4j 2.17 telah diterbitkan untuk menutup penyertaan.
Apache, pembangun perpustakaan Java, menasihatkan organisasi untuk menggunakan tampung kecemasan. Nasihat itu digunakan untuk kali ketiga sejak perpustakaan didapati terdedah.
Seminggu setengah yang lalu, penyelidik keselamatan dari Alibaba cloud pasukan keselamatan mendedahkan kaedah untuk menyalahgunakan aplikasi dengan Log4j. Log4j digunakan dalam aplikasi untuk log peristiwa. Ternyata mungkin untuk mengakses aplikasi dengan perpustakaan dari luar dengan arahan untuk melaksanakan perisian hasad. Penderaan mengambil masa yang singkat. Tambah pada anggaran kejadian perpustakaan dalam kebanyakan persekitaran korporat dan anda memahami skala bencana yang dihadapi landskap IT global.
Pembangun perisian seperti Fortinet, Cisco, IBM dan berpuluh-puluh yang lain menggunakan perpustakaan dalam perisian mereka. Pembangun mereka bekerja lebih masa pada hujung minggu 11 Disember untuk memproses tampung kecemasan pertama untuk kerentanan dan menghantarnya kepada organisasi pengguna. Hanyutan yang sama dijangka daripada pasukan IT dalam organisasi ini. Beratus-ratus ribu percubaan serangan berlaku di seluruh dunia. Semua orang terpaksa bertukar kepada 2.15 secepat mungkin – sehingga 2.15 juga didapati terdedah.
Konfigurasi tertentu pustaka kekal mungkin dalam versi 2.15. Menggunakan konfigurasi ini mengekalkan kelemahan. Versi 2.16 menjadikan konfigurasi mustahil, menjamin tampung baharu. Selalunya mengecewakan pasukan IT yang sudah terlalu banyak bekerja. Walau bagaimanapun, ia sentiasa boleh menjadi lebih teruk, kerana 2.16 juga mempunyai penyakit.
Kembali ke permulaan
Perhatian global yang besar terhadap masalah itu mendorong penyiasatan besar-besaran di seluruh dunia. Apache, pembangun perpustakaan, nampaknya tidak dapat bernafas selama dua hari tanpa syarikat keselamatan menunjukkan masalah baru yang mendesak.
Ringkasnya, ternyata adalah mungkin untuk menjalankan berpuluh-puluh versi log4j - termasuk 2.16 - dengan satu baris (rentetan) untuk memulakan gelung kekal yang merosakkan aplikasi. Syarat yang mesti dipenuhi oleh persekitaran untuk disalahgunakan adalah luas. Begitu meluas sehingga keseriusan praktikal masalah itu dipertikaikan. Tampalan itu disyorkan secara rasmi, tetapi tidak semua orang yakin.
Sekali lagi, bukan setiap contoh Log4j terdedah, tetapi hanya kes di mana perpustakaan berjalan pada tetapan tersuai. Seorang penyerang yang berpotensi juga memerlukan pandangan terperinci tentang cara Log4j berfungsi. Berbeza dengan kelemahan awal yang mudah diakses.