Kipengele cha dharura cha athari mbaya katika maktaba ya Java Log4j sio dhabiti. Apache Software Foundation inatoa toleo jipya ili kurekebisha athari mara moja na kwa wote.
Athari katika maktaba maarufu sana ya Java inatikisa mazingira ya kimataifa ya IT. Inakadiriwa kuwa maktaba iko katika mazingira mengi ya ushirika.
Log4j hutumiwa hasa kwa ukataji miti. Matukio katika programu yanaweza kusajiliwa na maelezo. Fikiria uchapishaji wa maelezo ya kuingia baada ya jaribio la kuingia. Au, katika kesi ya programu ya wavuti katika Java, jina la kivinjari ambacho mtumiaji anajaribu kuunganisha.
Mifano ya mwisho ni ya kawaida. Katika visa vyote viwili, mtumiaji wa nje huathiri logi ambayo matokeo ya Log4j. Inawezekana kutumia vibaya ushawishi huo. Kumbukumbu za toleo lolote la Log4j kati ya Septemba 13, 2013 na Desemba 5, 2021 zinaweza kuelekeza programu za Java kuendesha msimbo kutoka kwa seva ya mbali kwenye kifaa cha ndani.
Tangu 2013, Log4j imekuwa ikichakata API: JNDI, au Kutaja Java na Kiolesura cha Saraka. Kuongezwa kwa JNDI huruhusu programu ya Java kuendesha msimbo kutoka kwa seva ya mbali kwenye kifaa cha ndani. Watayarishaji programu hufundisha kwa kuongeza safu moja ya maelezo kuhusu seva ya mbali katika programu.
Shida ni kwamba sio watengenezaji wa programu tu wanaoweza kuongeza sheria kwenye programu. Tuseme Log4j inaweka majina ya watumiaji ya majaribio ya kuingia. Wakati mtu anaingia kwenye mstari uliotajwa hapo juu kwenye uwanja wa jina la mtumiaji, Log4j huendesha mstari na programu ya Java inatafsiri amri ya kuendesha msimbo kwenye seva maalum. Vile vile huenda kwa kesi ambapo Log4j huweka ombi la HTTPS. Ukibadilisha jina la kivinjari kuwa laini, Log4j inaendesha laini, ikiiagiza kwa njia isiyo ya moja kwa moja kutekeleza nambari inavyotaka.
Kiraka cha dharura pia kinaweza kuwa si salama
Mnamo Desemba 9, udhaifu huo ulikuja kujulikana kwa kiwango kikubwa. Apache Software Foundation, msanidi wa Log4j, alitoa kiraka cha dharura (2.15) ili kurekebisha athari. Tangu wakati huo, imekuwa kipaumbele cha juu kwa wachuuzi wa programu kuchakata toleo la 2.15 na kutoa kiraka kwa mashirika.
Walakini, shirika la usalama la LunaSec linasema kuwa kiraka hicho hakina maji kabisa. Inabakia kuwa inawezekana kurekebisha mpangilio na kuweka amri za JNDI kutekelezwa.
Tafadhali kumbuka: mpangilio husika lazima urekebishwe wewe mwenyewe, ili vibadala ambavyo havijabadilishwa vya 2.15 ziwe salama kweli. Hata hivyo, Luna Sec inapendekeza kwamba wasambazaji na mashirika wasasishe hadi Log4j 2.16. 2.16 ilichapishwa na Apache Software Foundation kujibu LunaSec. Toleo jipya huondoa kabisa mpangilio unaoweza kuathiriwa, na hivyo kufanya kutowezekana kuunda hali za matumizi mabaya.