Хитна закрпа за злогласну рањивост у Јава библиотеци Лог4ј није сигурна. Апацхе Софтваре Фоундатион објављује нову верзију како би једном заувек отклонила рањивост.
Рањивост у веома популарној библиотеци за Јаву потреса глобални ИТ пејзаж. Процењује се да библиотека постоји у већини корпоративних окружења.
Лог4ј се углавном користи за логовање. Догађаји у апликацијама могу се регистровати са белешкама. Замислите испис детаља за пријаву након покушаја пријаве. Или, у случају веб апликације у Јави, назив претраживача на који корисник покушава да се повеже.
Последњи примери су уобичајени. У оба случаја, екстерни корисник утиче на дневник који Лог4ј излази. Тај утицај је могуће злоупотребити. Евиденције било које верзије Лог4ј између 13. септембра 2013. и 5. децембра 2021. могу да упуте Јава апликацијама да покрећу код са удаљеног сервера на локалном уређају.
Од 2013. Лог4ј обрађује АПИ: ЈНДИ, или Јава интерфејс за именовање и именик. Додатак ЈНДИ омогућава Јава апликацији да покрене код са удаљеног сервера на локалном уређају. Програмери дају упутства додавањем једне линије детаља о удаљеном серверу у апликацији.
Проблем је у томе што не само програмери могу да додају правило апликацијама. Претпоставимо да Лог4ј бележи корисничка имена покушаја пријављивања. Када неко унесе горе поменуту линију у поље корисничког имена, Лог4ј покреће линију и Јава апликација тумачи команду за покретање кода на наведеном серверу. Исто важи и за случајеве у којима Лог4ј евидентира ХТТПС захтев. Ако промените име претраживача у линију, Лог4ј покреће линију, индиректно му даје упутства да покрене код по жељи.
Закрпе за хитне случајеве такође могу бити небезбедне
9. децембра рањивост је изашла на видело у великим размерама. Апацхе Софтваре Фоундатион, програмер Лог4ј-а, објавио је хитну закрпу (2.15) да би поправио рањивост. Од тада је највећи приоритет за произвођаче софтвера да обрађују верзију 2.15 и обезбеде закрпу за организације.
Међутим, безбедносна организација ЛунаСец наводи да закрпа није потпуно водонепропусна. Остаје могуће подесити поставку и извршити евидентиране ЈНДИ команде.
Имајте на уму: релевантно подешавање мора да се подеси ручно, тако да су неизмењене варијанте 2.15 заиста безбедне. Ипак, Луна Сец препоручује да добављачи и организације ажурирају на Лог4ј 2.16. 2.16 је објавила Апацхе Софтваре Фоундатион као одговор на ЛунаСец. Нова верзија потпуно уклања рањиву поставку, чинећи немогућим стварање услова за злоупотребу.