Popravek v sili za zloglasno ranljivost v knjižnici Java Log4j ni zanesljiv. Apache Software Foundation izdaja novo različico, da bi enkrat za vselej odpravili ranljivost.
Ranljivost v zelo priljubljeni knjižnici za Javo pretresa globalno IT pokrajino. Ocenjuje se, da knjižnica obstaja v večini korporativnih okolij.
Log4j se uporablja predvsem za beleženje. Dogodke v aplikacijah je mogoče prijaviti z opombami. Po poskusu prijave si zamislite izpis podrobnosti za prijavo. Ali pa v primeru spletne aplikacije v Javi ime brskalnika, s katerim se uporabnik poskuša povezati.
Zadnji primeri so pogosti. V obeh primerih zunanji uporabnik vpliva na dnevnik, ki ga izpiše Log4j. Ta vpliv je mogoče zlorabiti. Dnevniki katere koli različice Log4j med 13. septembrom 2013 in 5. decembrom 2021 lahko naročijo aplikacijam Java, da zaženejo kodo z oddaljenega strežnika na lokalni napravi.
Od leta 2013 Log4j obdeluje API: JNDI ali vmesnik za poimenovanje in imenik Java. Dodatek JNDI omogoča aplikaciji Java zagon kode z oddaljenega strežnika na lokalni napravi. Programerji poučujejo tako, da dodajo eno vrstico podrobnosti o oddaljenem strežniku v aplikaciji.
Težava je v tem, da praviloma ne morejo dodati samo programerji. Recimo, da Log4j beleži uporabniška imena poskusov prijave. Ko nekdo vnese prej omenjeno vrstico v polje uporabniškega imena, Log4j zažene vrstico in aplikacija Java interpretira ukaz za zagon kode na določenem strežniku. Enako velja za primere, ko Log4j zabeleži zahtevo HTTPS. Če spremenite ime brskalnika v vrstico, Log4j zažene vrstico in ji posredno naroči, naj zažene želeno kodo.
Obliž za nujne primere je lahko tudi nevaren
9. decembra je ranljivost prišla na dan v velikem obsegu. Apache Software Foundation, razvijalec Log4j, je izdal nujni popravek (2.15) za odpravo ranljivosti. Od takrat je bila glavna prednostna naloga prodajalcev programske opreme, da obdelajo različico 2.15 in zagotovijo popravek za organizacije.
Vendar varnostna organizacija LunaSec navaja, da obliž ni popolnoma vodotesen. Še vedno je mogoče prilagoditi nastavitev in izvesti zabeležene ukaze JNDI.
Upoštevajte: ustrezno nastavitev je treba nastaviti ročno, tako da so nespremenjene različice 2.15 res varne. Kljub temu Luna Sec priporoča, da dobavitelji in organizacije posodobijo na Log4j 2.16. 2.16 je objavila Apache Software Foundation kot odgovor na LunaSec. Nova različica popolnoma odstrani ranljivo nastavitev, zaradi česar ni mogoče ustvariti pogojev za zlorabo.