د جاوا کتابتون Log4j کې د بدنام زیانمننې لپاره اضطراري پیچ بې باوره ندی. د اپاچي سافټویر فاونډیشن یو نوی نسخه خپروي ترڅو زیانمنونکي یو ځل او د ټولو لپاره حل کړي.
د جاوا لپاره په وحشي مشهور کتابتون کې زیانمنتیا د IT نړیوال منظره لړزوي. اټکل کیږي چې کتابتون په ډیری کارپوریټ چاپیریال کې شتون لري.
Log4j په عمده توګه د ننوتلو لپاره کارول کیږي. په غوښتنلیکونو کې پیښې د نوټونو سره ثبت کیدی شي. د ننوتلو هڅو وروسته د ننوتلو توضیحاتو د چاپ په اړه فکر وکړئ. یا، په جاوا کې د ویب غوښتنلیک په صورت کې، د براوزر نوم چې یو کاروونکي هڅه کوي چې وصل شي.
وروستي مثالونه عام دي. په دواړو حالتونو کې، یو بهرنی کارونکی په هغه لاګ اغیزه کوي چې Log4j تولیدوي. دا ممکنه ده چې د دې نفوذ څخه ناوړه ګټه پورته کړي. د سپتمبر 4، 13 او دسمبر 2013، 5 ترمنځ د هر ډول Log2021j نسخه لاګ د دې وړتیا لري چې جاوا غوښتنلیکونو ته لارښوونه وکړي چې کوډ په ځایی وسیله کې د ریموټ سرور څخه چل کړي.
د 2013 راهیسې، Log4j د API پروسس کوي: JNDI، یا د جاوا نومونې او لارښود انٹرفیس. د JNDI اضافه کول د جاوا غوښتنلیک ته اجازه ورکوي چې په محلي وسیله کې د ریموټ سرور څخه کوډ چل کړي. برنامه کونکي په غوښتنلیک کې د ریموټ سرور په اړه د توضیحاتو یوه کرښه اضافه کولو سره لارښوونه کوي.
ستونزه دا ده چې نه یوازې برنامه کونکي وړتیا لري چې غوښتنلیکونو کې قاعده اضافه کړي. فرض کړئ Log4j د ننوتلو هڅو کارونکي نومونه لوګوي. کله چې یو څوک د کارن نوم په ډګر کې پورته ذکر شوې کرښه ته ننوځي، Log4j لاین چلوي او د جاوا غوښتنلیک په ټاکل شوي سرور کې د کوډ چلولو لپاره کمانډ تشریح کوي. ورته قضیو ته ځي چیرې چې Log4j د HTTPS غوښتنه ثبتوي. که تاسو لاین ته د براوزر نوم بدل کړئ ، Log4j لاین پرمخ وړي ، په غیر مستقیم ډول ورته لارښوونه کوي چې کوډ لکه څنګه چې وغواړي چلوي.
بیړنی پیچ هم ناامنه کیدی شي
د دسمبر په 9، زیان په لویه کچه روښانه شو. د اپاچي سافټویر فاونډیشن، د Log4j پراختیا کونکي، د زیانمننې د حل لپاره یو اضطراري پیچ (2.15) خپور کړ. له هغه وخت راهیسې، دا د سافټویر پلورونکو لپاره د 2.15 نسخه پروسس کولو او سازمانونو لپاره پیچ چمتو کولو لپاره لوړ لومړیتوب دی.
په هرصورت، د امنیت سازمان LunaSec وایي چې پیچ په بشپړه توګه اوبه نه دی. دا ممکنه پاتې ده چې یو ترتیب تنظیم کړئ او د JNDI کمانډونو پلي کولو ته ننوتل.
مهرباني وکړئ په یاد ولرئ: اړونده ترتیب باید په لاسي ډول تنظیم شي، نو د 2.15 نه بدلیدونکي ډولونه واقعیا خوندي دي. په هرصورت، لونا سیک وړاندیز کوي چې عرضه کوونکي او سازمانونه Log4j 2.16 ته تازه کړي. 2.16 د اپاچی سافټویر فاونډیشن لخوا د LunaSec په ځواب کې خپور شو. نوې نسخه په بشپړ ډول زیان منونکي ترتیب لرې کوي، د ناوړه ګټه اخیستنې شرایط رامینځته کول ناممکن کوي.