Il-garża ta 'emerġenza għall-vulnerabbiltà infami fil-librerija Java Log4j mhix foolproof. L-Apache Software Foundation qed toħroġ verżjoni ġdida biex tirranġa l-vulnerabbiltà darba għal dejjem.
Vulnerabilità f'librerija popolari ħafna għal Java qed tħawwad il-pajsaġġ globali tal-IT. Huwa stmat li l-librerija teżisti fil-biċċa l-kbira tal-ambjenti korporattivi.
Log4j jintuża prinċipalment għall-illoggjar. Avvenimenti fl-applikazzjonijiet jistgħu jiġu rreġistrati man-noti. Aħseb fi stampar tad-dettalji tal-login wara tentattiv ta' login. Jew, fil-każ ta' applikazzjoni tal-web f'Java, l-isem tal-browser li utent qed jipprova jikkonnettja miegħu.
Dawn l-aħħar eżempji huma komuni. Fiż-żewġ każijiet, utent estern jinfluwenza l-log li Log4j joħroġ. Huwa possibbli li tabbuża minn dik l-influwenza. Ir-reġistri ta’ kwalunkwe verżjoni ta’ Log4j bejn it-13 ta’ Settembru 2013 u l-5 ta’ Diċembru 2021 jistgħu jagħtu struzzjonijiet lill-applikazzjonijiet Java biex imexxu l-kodiċi minn server remot fuq apparat lokali.
Mill-2013, Log4j ilu jipproċessa API: JNDI, jew Java Naming and Directory Interface. Iż-żieda ta 'JNDI tippermetti li applikazzjoni Java tħaddem kodiċi minn server remot fuq apparat lokali. Il-programmaturi jagħtu struzzjonijiet billi jżidu linja waħda ta 'dettalji dwar is-server remot f'applikazzjoni.
Il-problema hija li mhux biss il-programmaturi jistgħu jżidu r-regola mal-applikazzjonijiet. Ejja ngħidu li Log4j jirreġistra l-ismijiet tal-utent tat-tentattivi tal-login. Meta xi ħadd jidħol fil-linja msemmija hawn fuq fil-qasam tal-isem tal-utent, Log4j imexxi l-linja u l-applikazzjoni Java tinterpreta kmand biex tmexxi l-kodiċi fuq is-server speċifikat. L-istess jgħodd għal każijiet fejn Log4j jirreġistra talba HTTPS. Jekk tibdel l-isem tal-brawżer għal-linja, Log4j imexxi l-linja, indirettament jagħtiha struzzjonijiet biex tmexxi l-kodiċi kif mixtieq.
Garża ta 'emerġenza tista' wkoll tkun perikoluża
Fid-9 ta’ Diċembru, il-vulnerabbiltà ħarġet fid-dawl fuq skala kbira. L-Apache Software Foundation, żviluppatur ta' Log4j, ħarġet garża ta' emerġenza (2.15) biex tiffissa l-vulnerabbiltà. Minn dakinhar, kienet prijorità ewlenija għall-bejjiegħa tas-softwer li jipproċessaw il-verżjoni 2.15 u jipprovdu garża għall-organizzazzjonijiet.
Madankollu, l-organizzazzjoni tas-sigurtà LunaSec tiddikjara li l-garża mhix kompletament reżistenti għall-ilma. Jibqa' possibbli li jiġi aġġustat setting u li l-kmandi tal-JNDI illoggjati jiġu esegwiti.
Jekk jogħġbok innota: l-issettjar rilevanti għandu jiġi aġġustat manwalment, sabiex varjanti mhux modifikati ta '2.15 ikunu tabilħaqq sikuri. Madankollu, Luna Sec jirrakkomanda li l-fornituri u l-organizzazzjonijiet jaġġornaw għal Log4j 2.16. 2.16 ġie ppubblikat minn Apache Software Foundation bi tweġiba għal LunaSec. Il-verżjoni l-ġdida tneħħi kompletament l-issettjar vulnerabbli, li jagħmilha impossibbli li jinħolqu l-kundizzjonijiet għall-abbuż.