Dampak tina kerentanan hina dina perpustakaan Java Log4j nyered on. Sanajan masalah pangbadagna ieu direngsekeun ku patch urgent 2.16, versi ieu ogé sigana rentan ka nyiksa. Panaliti kaamanan mendakan lawang pikeun serangan Denial of Service (DoS). Log4j 2.17 parantos diterbitkeun pikeun nutup éntri.
Apache, pamekar perpustakaan Java, mamatahan organisasi pikeun nerapkeun patch darurat. Naséhat éta lumaku pikeun katilu kalina saprak perpustakaan kapanggih rentan.
Saminggu satengah ka tukang, peneliti kaamanan ti Alibaba cloud Tim kaamanan ngungkabkeun metode pikeun nyiksa aplikasi sareng Log4j. Log4j dipaké dina aplikasi pikeun log kajadian. Tétéla tiasa ngaksés aplikasi sareng perpustakaan ti luar kalayan petunjuk pikeun ngaéksekusi malware. Nyiksa nyokot saeutik leuwih ti snap. Tambihkeun kana estimasi kajadian perpustakaan di kalolobaan lingkungan perusahaan sareng anjeun ngartos skala bencana anu nyanghareupan bentang IT global.
Pamekar parangkat lunak sapertos Fortinet, Cisco, IBM sareng puluhan anu sanésna nganggo perpustakaan dina parangkat lunakna. Pamekarna damel di lembur sabtu minggu 11 Désémber pikeun ngolah patch darurat munggaran pikeun kerentanan sareng nganteurkeun ka organisasi pangguna. Persis drift anu sami diperkirakeun ti tim IT dina organisasi ieu. Ratusan rébu usaha serangan lumangsung di sakuliah dunya. Sarerea kedah ngalih ka 2.15 pas mungkin - dugi ka 2.15 ogé kapendak rentan.
Konfigurasi tangtu perpustakaan tetep mungkin dina versi 2.15. Ngagunakeun konfigurasi ieu perpetuated kerentanan. Vérsi 2.16 ngajadikeun konfigurasi teu mungkin, ngajamin patch anyar. Mindeng ka chagrin tim IT geus overworked. Nanging, éta tiasa langkung parah, sabab 2.16 ogé ngagaduhan panyakit.
Balik deui ka ngamimitian
Perhatian global anu ageung kana masalah éta nyababkeun panyilidikan sadunya. Apache, pamekar perpustakaan, sigana moal tiasa nahan napas salami dua dinten tanpa perusahaan kaamanan nunjukkeun masalah anu énggal.
Pondokna, tétéla yén kasebut nyaéta dimungkinkeun pikeun ngajalankeun puluhan versi log4j - kaasup 2.16 - kalawan hiji garis (string) pikeun ngamimitian hiji loop langgeng nu ngadat aplikasi. Kaayaan anu kedah dicumponan ku lingkungan supados tiasa disalahgunakeun sacara éksténsif. Jadi éksténsif yén seriousness praktis masalah ieu dibantah. Patch sacara resmi disarankeun, tapi henteu sadayana yakin.
Sakali deui, henteu unggal conto Log4j rentan, tapi ngan ukur kasus dimana perpustakaan dijalankeun dina setélan khusus. Calon panyerang ogé peryogi wawasan anu lengkep ngeunaan kumaha Log4j jalan. Kontras jeung awal, gampang diakses kerentanan.