Rregullimi i urgjencës për cenueshmërinë famëkeqe në bibliotekën Java Log4j nuk është i pagabueshëm. Apache Software Foundation po lëshon një version të ri për të rregulluar cenueshmërinë një herë e përgjithmonë.
Një dobësi në një bibliotekë jashtëzakonisht të njohur për Java po trondit peizazhin global të IT. Vlerësohet se biblioteka ekziston në shumicën e mjediseve të korporatave.
Log4j përdoret kryesisht për prerje. Ngjarjet në aplikacione mund të regjistrohen me shënime. Mendoni për një printim të detajeve të hyrjes pas një përpjekjeje për hyrje. Ose, në rastin e një aplikacioni ueb në Java, emri i shfletuesit me të cilin një përdorues po përpiqet të lidhet.
Shembujt e fundit janë të zakonshëm. Në të dyja rastet, një përdorues i jashtëm ndikon në regjistrin që nxjerr Log4j. Është e mundur të abuzohet me atë ndikim. Regjistrat e çdo versioni Log4j midis 13 shtatorit 2013 dhe 5 dhjetorit 2021 janë në gjendje të udhëzojnë aplikacionet Java të ekzekutojnë kodin nga një server në distancë në një pajisje lokale.
Që nga viti 2013, Log4j ka përpunuar një API: JNDI, ose Java Emërtimi dhe Ndërfaqja e Drejtorisë. Shtimi i JNDI lejon një aplikacion Java të ekzekutojë kodin nga një server i largët në një pajisje lokale. Programuesit udhëzojnë duke shtuar një linjë të vetme detajesh në lidhje me serverin në distancë në një aplikacion.
Problemi është se jo vetëm programuesit janë në gjendje të shtojnë rregullin në aplikacione. Supozoni se Log4j regjistron emrat e përdoruesve të përpjekjeve për hyrje. Kur dikush fut rreshtin e lartpërmendur në fushën e emrit të përdoruesit, Log4j ekzekuton linjën dhe aplikacioni Java interpreton një komandë për të ekzekutuar kodin në serverin e specifikuar. E njëjta gjë vlen edhe për rastet kur Log4j regjistron një kërkesë HTTPS. Nëse ndryshoni një emër shfletuesi në rresht, Log4j drejton linjën, duke e udhëzuar indirekt që të ekzekutojë kodin sipas dëshirës.
Patch-i urgjent gjithashtu mund të jetë i pasigurt
Më 9 dhjetor, dobësia doli në dritë në një shkallë të gjerë. Apache Software Foundation, zhvilluesi i Log4j, lëshoi një patch urgjence (2.15) për të rregulluar cenueshmërinë. Që atëherë, ka qenë një përparësi kryesore për shitësit e softuerëve që të përpunojnë versionin 2.15 dhe të ofrojnë një rregullim për organizatat.
Megjithatë, organizata e sigurisë LunaSec deklaron se patch-i nuk është plotësisht i papërshkueshëm nga uji. Mbetet e mundur të rregulloni një cilësim dhe të keni ekzekutuar komandat e regjistruara JNDI.
Ju lutemi vini re: cilësimi përkatës duhet të rregullohet manualisht, në mënyrë që variantet e pandryshuara të 2.15 të jenë vërtet të sigurta. Megjithatë, Luna Sec rekomandon që furnitorët dhe organizatat të përditësojnë në Log4j 2.16. 2.16 u botua nga Apache Software Foundation në përgjigje të LunaSec. Versioni i ri heq plotësisht mjedisin vulnerabël, duke e bërë të pamundur krijimin e kushteve për abuzim.