Nødoppdateringen for den beryktede sårbarheten i Java-biblioteket Log4j er ikke idiotsikker. Apache Software Foundation gir ut en ny versjon for å fikse sårbarheten en gang for alle.
En sårbarhet i et veldig populært bibliotek for Java ryster det globale IT-landskapet. Det er anslått at biblioteket finnes i de fleste bedriftsmiljøer.
Log4j brukes hovedsakelig til logging. Hendelser i søknader kan registreres med notater. Tenk på en utskrift av påloggingsdetaljene etter et påloggingsforsøk. Eller, i tilfelle av en nettapplikasjon i Java, navnet på nettleseren en bruker prøver å koble seg til.
De sistnevnte eksemplene er vanlige. I begge tilfeller påvirker en ekstern bruker loggen som Log4j sender ut. Det er mulig å misbruke den innflytelsen. Loggene til enhver Log4j-versjon mellom 13. september 2013 og 5. desember 2021 kan instruere Java-applikasjoner til å kjøre koden fra en ekstern server på en lokal enhet.
Siden 2013 har Log4j behandlet et API: JNDI, eller Java Naming and Directory Interface. Tillegget til JNDI lar en Java-applikasjon kjøre kode fra en ekstern server på en lokal enhet. Programmerere instruerer ved å legge til en enkelt linje med detaljer om den eksterne serveren i en applikasjon.
Problemet er at ikke bare programmerere kan legge til regelen i applikasjoner. Anta at Log4j logger brukernavnene for påloggingsforsøk. Når noen skriver inn den nevnte linjen i brukernavnfeltet, kjører Log4j linjen og Java-applikasjonen tolker en kommando for å kjøre koden på den angitte serveren. Det samme gjelder tilfeller der Log4j logger en HTTPS-forespørsel. Hvis du endrer et nettlesernavn til linjen, kjører Log4j linjen, og instruerer den indirekte om å kjøre kode som ønsket.
Nødplaster kan også være utrygt
9. desember kom sårbarheten frem i stor skala. Apache Software Foundation, utvikler av Log4j, ga ut en nødoppdatering (2.15) for å fikse sårbarheten. Siden den gang har det vært en topp prioritet for programvareleverandører å behandle versjon 2.15 og gi en oppdatering for organisasjoner.
Sikkerhetsorganisasjonen LunaSec opplyser imidlertid at lappen ikke er helt vanntett. Det er fortsatt mulig å justere en innstilling og å få utført loggede JNDI-kommandoer.
Merk: den aktuelle innstillingen må justeres manuelt, slik at umodifiserte varianter av 2.15 virkelig er sikre. Luna Sec anbefaler likevel at leverandører og organisasjoner oppdaterer til Log4j 2.16. 2.16 ble publisert av Apache Software Foundation som svar på LunaSec. Den nye versjonen fjerner den sårbare innstillingen fullstendig, noe som gjør det umulig å legge forholdene til rette for misbruk.