Patch darurat pikeun kerentanan hina dina perpustakaan Java Log4j teu foolproof. Yayasan Perangkat Lunak Apache ngaluarkeun vérsi énggal pikeun ngalereskeun kerentanan sakali sareng salamina.
Kerentanan dina perpustakaan anu populer pisan pikeun Java ngoyagkeun bentang IT global. Diperkirakeun yén perpustakaan aya di kalolobaan lingkungan perusahaan.
Log4j utamana dipaké pikeun logging. Kajadian dina aplikasi tiasa didaptarkeun sareng catetan. Pikirkeun hiji printout wincik login sanggeus usaha login. Atanapi, dina kasus aplikasi wéb dina Java, nami browser anu dicobian ku pangguna.
Conto dimungkinkeun umum. Dina duanana kasus, hiji pamaké éksternal pangaruh log nu Log4j outputs. Kasebut nyaéta dimungkinkeun pikeun nyiksa pangaruh éta. Log tina sagala vérsi Log4j antara 13 Séptémber 2013 sareng 5 Désémber 2021 tiasa ngalatih aplikasi Java pikeun ngajalankeun kode tina server jauh dina alat lokal.
Kusabab 2013, Log4j parantos ngolah API: JNDI, atanapi Java Naming and Directory Interface. Penambahan JNDI ngamungkinkeun aplikasi Java pikeun ngajalankeun kode tina server jauh dina alat lokal. Programer ngalatih ku nambahkeun hiji garis rinci ngeunaan server jauh dina hiji aplikasi.
Masalahna nyaéta henteu ngan ukur programer anu tiasa nambihan aturan kana aplikasi. Anggap Log4j log nu usernames tina usaha login. Nalika batur asup kana garis disebut tadi dina widang ngaran pamaké, Log4j ngajalankeun jalur jeung aplikasi Java interprets paréntah pikeun ngajalankeun kode dina server dieusian. Sami lumaku pikeun kasus dimana Log4j log pamundut HTTPS. Upami anjeun ngarobih nami browser kana jalur, Log4j ngajalankeun jalur, sacara henteu langsung maréntahkeun pikeun ngajalankeun kode anu dipikahoyong.
Patch darurat ogé tiasa teu aman
Dina 9 Désémber, kerentanan éta terang dina skala anu ageung. Yayasan Perangkat Lunak Apache, pamekar Log4j, ngaluarkeun patch darurat (2.15) pikeun ngalereskeun kerentanan. Ti saprak éta, éta mangrupikeun prioritas utama pikeun ngical paralatan pikeun ngolah versi 2.15 sareng nyayogikeun patch pikeun organisasi.
Nanging, organisasi kaamanan LunaSec nyatakeun yén patch éta henteu kedap cai. Tetep mungkin pikeun nyaluyukeun setelan sareng parantos log paréntah JNDI dieksekusi.
Perhatikeun: setelan relevan kudu disaluyukeun sacara manual, ku kituna varian unmodified tina 2.15 memang aman. Tapi, Luna Sec nyarankeun yén panyadia sareng organisasi ngamutahirkeun ka Log4j 2.16. 2.16 dipedalkeun ku Apache Software Foundation pikeun ngaréspon LunaSec. Versi anyar lengkep ngaleungitkeun setélan anu rentan, sahingga teu mungkin nyiptakeun kaayaan pikeun nyiksa.