Утицај злогласне рањивости у Јава библиотеци Лог4ј се одуговлачи. Иако је највећи проблем решен хитном закрпом 2.16, чини се да је и ова верзија подложна злоупотребама. Истраживачи безбедности пронашли су улаз за нападе ускраћивања услуге (ДоС). Лог4ј 2.17 је објављен да затвори унос.
Апацхе, програмер Јава библиотеке, саветује организацијама да примене хитну закрпу. Тај савет се примењује по трећи пут откако је утврђено да је библиотека рањива.
Пре недељу и по, истраживачи безбедности из Алибабе cloud безбедносни тим је открио метод злоупотребе апликација помоћу Лог4ј. Лог4ј се користи у апликацијама за евидентирање догађаја. Испоставило се да је могуће приступити апликацијама са библиотеком споља са упутствима за извршавање малвера. За злостављање је потребно мало више од тренутка. Додајте томе процењену појавност библиотеке у већини корпоративних окружења и разумећете размере катастрофе са којима се суочава глобални ИТ пејзаж.
Програмери софтвера као што су Фортинет, Цисцо, ИБМ и десетине других користе библиотеку у свом софтверу. Њихови програмери су радили прековремено током викенда 11. децембра како би обрадили прву хитну закрпу за рањивост и испоручили је корисничким организацијама. Потпуно исти помак се очекивао од ИТ тимова унутар ових организација. Стотине хиљада покушаја напада догодило се широм света. Сви су морали да пређу на 2.15 што је пре могуће – док се 2.15 такође није показало рањивим.
Одређене конфигурације библиотеке остале су могуће у верзији 2.15. Коришћење ових конфигурација продужило је рањивост. Верзија 2.16 је онемогућила конфигурације, гарантујући нову закрпу. Често на жалост већ презапослених ИТ тимова. Међутим, увек може бити горе, јер 2.16 такође има тегобу.
Назад на почетак
Огромна глобална пажња на проблем подстакла је масовну истрагу широм света. Апацхе, програмер библиотеке, не може да дође до даха два дана, а да компанија за обезбеђење не укаже на нови, хитан проблем.
Укратко, испоставило се да је могуће покренути десетине верзија лог4ј – укључујући 2.16 – са једном линијом (стрингом) да бисте покренули вечну петљу која руши апликацију. Услови које окружење мора да испуни да би било злоупотребљено су опсежни. Толико обиман да је практична озбиљност проблема спорна. Закрпа се званично препоручује, али нису сви у то уверени.
Опет, није свака инстанца Лог4ј-а рањива, већ само случајеви када библиотека ради на прилагођеним подешавањима. Потенцијалном нападачу је такође потребан детаљан увид у то како Лог4ј функционише. Контраст од почетне, лако доступне рањивости.