Java library Log4j හි ඇති කුප්රකට අවදානම සඳහා හදිසි පැච් එක වැරදි ආරක්ෂිත නොවේ. Apache Software Foundation එක වරක් සහ සියල්ලටම අවදානම නිවැරදි කිරීමට නව අනුවාදයක් නිකුත් කරයි.
ජාවා සඳහා ඉතා ජනප්රිය පුස්තකාලයක ඇති අවදානමක් ගෝලීය තොරතුරු තාක්ෂණ භූ දර්ශනය සොලවයි. බොහෝ ආයතනික පරිසරයන්හි පුස්තකාලය පවතින බව ඇස්තමේන්තු කර ඇත.
Log4j ප්රධාන වශයෙන් logging සඳහා භාවිතා වේ. යෙදුම්වල සිදුවීම් සටහන් සමඟ ලියාපදිංචි කළ හැකිය. පුරනය වීමේ උත්සාහයකින් පසු පිවිසුම් විස්තර මුද්රණයක් ගැන සිතන්න. එසේත් නැතිනම්, ජාවා හි වෙබ් යෙදුමක් සම්බන්ධයෙන්, පරිශීලකයෙකු සම්බන්ධ වීමට උත්සාහ කරන බ්රවුසරයේ නම.
අවසාන උදාහරණ පොදු වේ. අවස්ථා දෙකේදීම, බාහිර පරිශීලකයෙකු Log4j ප්රතිදානය කරන ලොගයට බලපෑම් කරයි. ඒ බලපෑම අනිසි ලෙස භාවිතා කරන්න පුළුවන්. 4 සැප්තැම්බර් 13 සහ 2013 දෙසැම්බර් 5 අතර ඕනෑම Log2021j අනුවාදයක ලොග වලට දේශීය උපාංගයක දුරස්ථ සේවාදායකයකින් කේතය ධාවනය කිරීමට ජාවා යෙදුම්වලට උපදෙස් දීමට හැකි වේ.
2013 සිට, Log4j API: JNDI, හෝ ජාවා නාමකරණය සහ නාමාවලි අතුරුමුහුණතක් සකසමින් සිටී. JNDI එකතු කිරීම ජාවා යෙදුමකට දේශීය උපාංගයක දුරස්ථ සේවාදායකයකින් කේතය ධාවනය කිරීමට ඉඩ සලසයි. ක්රමලේඛකයින් යෙදුමක දුරස්ථ සේවාදායකය පිළිබඳ තනි පේළියක් එක් කිරීමෙන් උපදෙස් දෙයි.
ගැටළුව වන්නේ ක්රමලේඛකයින්ට පමණක් නොව යෙදුම් වලට රීතිය එක් කිරීමට හැකි වීමයි. Log4j පුරනය වීමේ උත්සාහයන් වල පරිශීලක නාම ලොග් කරයි යැයි සිතමු. පරිශීලක නාම ක්ෂේත්රය තුළ යමෙකු ඉහත සඳහන් කළ රේඛාවට ඇතුළු වූ විට, Log4j රේඛාව ධාවනය කරන අතර ජාවා යෙදුම නිශ්චිත සේවාදායකයේ කේතය ක්රියාත්මක කිරීමට විධානයක් අර්ථකථනය කරයි. Log4j HTTPS ඉල්ලීමක් ලොග් කරන අවස්ථා සඳහා ද එය එසේම වේ. ඔබ බ්රවුසරයේ නමක් රේඛාවට වෙනස් කරන්නේ නම්, Log4j රේඛාව ධාවනය කරයි, අවශ්ය පරිදි කේතය ධාවනය කිරීමට වක්රව උපදෙස් දෙයි.
හදිසි පැච් ද අනාරක්ෂිත විය හැකිය
දෙසැම්බර් 9 වන දින, අවදානම මහා පරිමාණයෙන් අනාවරණය විය. Log4j හි සංවර්ධක Apache Software Foundation, අවදානම් තත්ත්වය නිවැරදි කිරීම සඳහා හදිසි පැච් එකක් (2.15) නිකුත් කරන ලදී. එතැන් සිට, මෘදුකාංග වෙළෙන්දන්ට 2.15 අනුවාදය සැකසීමට සහ සංවිධාන සඳහා පැච් එකක් සැපයීමට ප්රමුඛත්වය දී ඇත.
කෙසේ වෙතත්, LunaSec ආරක්ෂක සංවිධානය පවසන්නේ මෙම පැච් එක සම්පූර්ණයෙන්ම ජලය කාන්දු නොවන බවයි. සැකසුම සකස් කිරීමට සහ ලොග් වූ JNDI විධාන ක්රියාත්මක කිරීමට හැකි වේ.
කරුණාකර සටහන් කරන්න: 2.15 හි වෙනස් නොකළ ප්රභේද ඇත්තෙන්ම ආරක්ෂිත වන පරිදි අදාළ සැකසුම අතින් සකස් කළ යුතුය. කෙසේ වෙතත්, Luna Sec විසින් සැපයුම්කරුවන් සහ සංවිධාන Log4j 2.16 වෙත යාවත්කාලීන කරන ලෙස නිර්දේශ කරයි. 2.16 LunaSec වෙත ප්රතිචාර වශයෙන් Apache Software Foundation විසින් ප්රකාශයට පත් කරන ලදී. නව අනුවාදය සම්පූර්ණයෙන්ම අවදානමට ලක්විය හැකි සැකසුම ඉවත් කරයි, අපයෝජනය සඳහා කොන්දේසි නිර්මානය කිරීමට නොහැකි වේ.