Java စာကြည့်တိုက် Log4j တွင် နာမည်ဆိုးဖြင့်ကျော်ကြားသော အားနည်းချက်အတွက် အရေးပေါ်ပြင်ဆင်ဖာထေးခြင်းသည် မိုက်မဲခြင်းမဟုတ်ပါ။ Apache ဆော့ဖ်ဝဲလ်ဖောင်ဒေးရှင်းသည် အားနည်းချက်ကို တစ်ကြိမ်နှင့်တစ်ပြိုင်တည်း ပြင်ဆင်ရန် ဗားရှင်းအသစ်ကို ထုတ်ပြန်နေပါသည်။
Java အတွက် လူကြိုက်များလှသော စာကြည့်တိုက်တစ်ခုရှိ အားနည်းချက်တစ်ခုသည် ကမ္ဘာလုံးဆိုင်ရာ အိုင်တီအခင်းအကျင်းကို တုန်လှုပ်စေသည်။ စာကြည့်တိုက်သည် ကော်ပိုရိတ်ပတ်ဝန်းကျင်အများစုတွင် တည်ရှိသည်ဟု ခန့်မှန်းရသည်။
Log4j ကို သစ်ခုတ်ခြင်းအတွက် အဓိကအသုံးပြုသည်။ အပလီကေးရှင်းများရှိ ဖြစ်ရပ်များကို မှတ်စုများဖြင့် မှတ်ပုံတင်နိုင်သည်။ အကောင့်ဝင်ရန် ကြိုးစားပြီးနောက် လော့ဂ်အင်အသေးစိတ်၏ ပရင့်ထုတ်ခြင်းကို စဉ်းစားပါ။ သို့မဟုတ်၊ Java ရှိ ဝဘ်အက်ပလီကေးရှင်းတစ်ခုတွင်၊ အသုံးပြုသူနှင့် ချိတ်ဆက်ရန် ကြိုးစားနေသည့် ဘရောက်ဆာအမည်။
နောက်ပိုင်း ဥပမာတွေက များတယ်။ ဖြစ်ရပ်နှစ်ခုစလုံးတွင်၊ ပြင်ပအသုံးပြုသူတစ်ဦးသည် Log4j ထုတ်ပေးသည့်မှတ်တမ်းကို လွှမ်းမိုးပါသည်။ အဲဒီသြဇာကို အလွဲသုံးစားလုပ်နိုင်တယ်။ စက်တင်ဘာ 4၊ 13 နှင့် 2013 ခုနှစ် ဒီဇင်ဘာလ 5 ရက်ကြားရှိ မည်သည့် Log2021j ဗားရှင်း၏မှတ်တမ်းများသည် စက်တွင်းစက်ပစ္စည်းတစ်ခုပေါ်ရှိ အဝေးထိန်းဆာဗာမှကုဒ်ကို run ရန် Java အပလီကေးရှင်းများအား ညွှန်ကြားနိုင်သည်။
2013 ခုနှစ်မှစတင်၍ Log4j သည် API- JNDI သို့မဟုတ် Java အမည်ပေးခြင်းနှင့် Directory Interface ကို လုပ်ဆောင်နေပါသည်။ JNDI ၏ထပ်တိုးမှုသည် Java အပလီကေးရှင်းအား စက်တွင်းရှိ အဝေးထိန်းဆာဗာတစ်ခုမှ ကုဒ်ကိုလုပ်ဆောင်နိုင်စေပါသည်။ ပရိုဂရမ်မာများသည် အပလီကေးရှင်းတစ်ခုတွင် အဝေးထိန်းဆာဗာနှင့်ပတ်သက်သည့် အသေးစိတ်အချက်တစ်ချက်ကို ပေါင်းထည့်ခြင်းဖြင့် ညွှန်ကြားသည်။
ပြဿနာမှာ ပရိုဂရမ်မာများသာမက အပလီကေးရှင်းများတွင် စည်းမျဉ်းကို ထည့်သွင်းနိုင်သောကြောင့် ဖြစ်သည်။ Log4j သည် ဝင်ရောက်ရန် ကြိုးပမ်းမှုများ၏ အသုံးပြုသူအမည်များကို မှတ်တမ်းတင်ထားသည်ဆိုပါစို့။ တစ်စုံတစ်ယောက်သည် အသုံးပြုသူအမည်အကွက်တွင် အထက်ဖော်ပြပါစာကြောင်းကို ဝင်ရောက်သောအခါ၊ Log4j သည် လိုင်းကိုလည်ပတ်စေပြီး Java အပလီကေးရှင်းသည် သတ်မှတ်ထားသောဆာဗာပေါ်တွင် ကုဒ်ကိုလည်ပတ်ရန် အမိန့်တစ်ခုပေးသည်။ Log4j သည် HTTPS တောင်းဆိုချက်ကို မှတ်တမ်းတင်သည့်ကိစ္စများတွင်လည်း အလားတူပင်ဖြစ်သည်။ ဘရောက်ဆာအမည်ကို လိုင်းသို့ပြောင်းပါက Log4j သည် လိုင်းကိုလုပ်ဆောင်ပြီး အလိုရှိသောကုဒ်ကို လုပ်ဆောင်ရန် သွယ်ဝိုက်စွာ ညွှန်ကြားသည်။
Emergency patch သည်လည်း အန္တရာယ်ကင်းနိုင်သည်။
ဒီဇင်ဘာလ ၉ ရက်နေ့တွင် အားနည်းချက်သည် ကြီးမားကျယ်ပြန့်လာခဲ့သည်။ Log9j ၏ developer ဖြစ်သော Apache Software Foundation သည် အားနည်းချက်ကို ပြင်ဆင်ရန်အတွက် အရေးပေါ် patch (4) ကို ထုတ်ပြန်ခဲ့သည်။ ထိုအချိန်မှစ၍၊ ၎င်းသည် ဗားရှင်း 2.15 ကို လုပ်ဆောင်ရန်နှင့် အဖွဲ့အစည်းများအတွက် patch တစ်ခုကို ပေးဆောင်ရန် ဆော့ဖ်ဝဲရောင်းချသူများအတွက် ထိပ်တန်းဦးစားပေးဖြစ်သည်။
သို့သော်လည်း လုံခြုံရေးအဖွဲ့အစည်း LunaSec က patch သည် လုံးလုံးလျားလျား ရေစိုမနေကြောင်း ဖော်ပြထားသည် ။ ဆက်တင်တစ်ခုကို ချိန်ညှိရန်နှင့် JNDI ညွှန်ကြားချက်များကို မှတ်တမ်းပြုထားရန် ဖြစ်နိုင်ခြေရှိသေးသည်။
ကျေးဇူးပြု၍ သတိပြုပါ- 2.15 ၏ မွမ်းမံထားသော မျိုးကွဲများသည် အမှန်တကယ် ဘေးကင်းစေရန် သက်ဆိုင်ရာ ဆက်တင်ကို ကိုယ်တိုင်ချိန်ညှိရပါမည်။ မည်သို့ပင်ဆိုစေကာမူ Luna Sec သည် ပေးသွင်းသူများနှင့် အဖွဲ့အစည်းများအား Log4j 2.16 သို့ အပ်ဒိတ်လုပ်ရန် အကြံပြုထားသည်။ 2.16 ကို LunaSec တုံ့ပြန်မှုဖြင့် Apache Software Foundation မှထုတ်ဝေခဲ့သည်။ ဗားရှင်းအသစ်သည် အလွဲသုံးစားပြုမှုအတွက် အခြေအနေများကို ဖန်တီးရန် မဖြစ်နိုင်သောကြောင့် အားနည်းချက်ရှိသော ဆက်တင်ကို လုံး၀ ဖယ်ရှားပေးပါသည်။