Qalabka degdega ah ee u nuglaanshaha caanka ah ee maktabadda Java Log4j ma aha nacasnimo. Aasaaska Software-ka Apache ayaa sii deynaya nooc cusub si loo hagaajiyo nuglaanta hal mar iyo dhammaan.
Nuglaanta maktabadda caanka ah ee Java ayaa ruxaysa muuqaalka guud ee IT-ga. Waxaa lagu qiyaasaa in maktabaddu ay ka jirto inta badan deegaannada shirkadaha.
Log4j waxaa inta badan loo isticmaalaa goynta. Dhacdooyinka codsiyada waxaa lagu diwaangelin karaa qoraallo. Ka fakar daabacaadda tafaasiisha galitaanka ka dib isku dayga soo gelida. Ama, dhanka codsiga shabakada Java, magaca browserka isticmaaluhu isku dayayo inuu ku xidho.
Tusaalooyinka dambe waa caadi. Labada xaaladoodba, isticmaale dibadda ah ayaa saameeya log-ka uu soo saaro Log4j. Waa suurtogal in lagu xad-gudbo saamayntaas. Logyada nooc kasta oo Log4j ah inta u dhaxaysa Sebtember 13, 2013 iyo Diseembar 5, 2021 waxay awoodaan inay tilmaamaan codsiyada Java inay ka socodsiiyaan koodka server-ka fog ee aaladda maxalliga ah.
Laga soo bilaabo 2013, Log4j waxa ay farsamaysay API: JNDI, ama Interface Magacaynta iyo Hagaha Java. Ku darida JNDI waxay u ogolaataa codsiga Java inuu ka socodsiiyo koodka serverka fog ee aaladaha maxaliga ah. Barnaamij-bixiyeyaashu waxay wax ku baraan iyagoo ku daraya hal sadar oo tafaasiil ah oo ku saabsan server-ka fog ee codsiga.
Dhibaatadu waxay tahay ma aha oo kaliya barnaamijyada ay awoodaan inay ku daraan xeerka codsiyada. Ka soo qaad Log4j inuu diiwaan galiyo magacyada isticmaaleyaasha ee isku dayga gelitaanka. Marka qof uu galo xariiqda kor ku xusan ee goobta isticmaalaha, Log4j waxa uu wadaa xariiqda codsiga Javana waxa uu tarjumaa amarka lagu socodsiiyo koodka serverka la cayimay. Si la mid ah kiisaska Log4j ku diiwaangaliyo codsiga HTTPS. Haddii aad magaca browserka u beddesho khadka, Log4j waxa uu wadaa xariiqda, isaga oo si dadban u faraya in uu u socodsiiyo koodka sida la rabo.
balastar degdeg ah sidoo kale waxay noqon kartaa mid aan badbaado lahayn
Diisambar 9, baylahdu waxay soo ifbaxday si baaxad leh. Aasaaska Software-ka Apache, horumariyaha Log4j, ayaa siidaayay balastar degdeg ah (2.15) si loo hagaajiyo nuglaanta. Tan iyo markaas, waxa ay ahayd mudnaanta ugu sareysa ee iibiyayaasha software si ay u farsameeyaan nooca 2.15 oo ay u siiyaan balastar ururada.
Si kastaba ha ahaatee, hay'adda amniga ee LunaSec ayaa sheegaysa in balastarku aanu si buuxda biyuhu u adkeyn. Waa suurtogal in la hagaajiyo goobta iyo in la geliyo amarada JNDI.
Fadlan ogow: goobta khusaysa waa in gacanta lagu hagaajiyaa, si noocyada 2.15 aan la beddelin ay runtii badbaado u yihiin. Si kastaba ha ahaatee, Luna Sec waxay ku talinaysaa alaab-qeybiyeyaasha iyo ururadu inay cusbooneysiiyaan Log4j 2.16. 2.16 waxaa daabacay Apache Software Foundation iyada oo ka jawaabeysa LunaSec. Nooca cusubi wuxuu si buuxda uga saarayaa goobta nugul, taasoo ka dhigaysa mid aan suurtagal ahayn in la abuuro shuruudaha xadgudubka.