Ямоқи фавқулодда барои осебпазирии бадном дар китобхонаи Java Log4j беақл нест. Бунёди нармафзори Apache версияи навро барои як бор ва барои ҳама ислоҳ кардани осебпазирӣ мебарорад.
осебпазирӣ дар китобхонаи хеле маъмул барои Java манзараи ҷаҳонии IT-ро ба ларза меорад. Тахмин меравад, ки китобхона дар аксари муҳитҳои корпоративӣ мавҷуд аст.
Log4j асосан барои сабткунӣ истифода мешавад. Ҳодисаҳоро дар барномаҳо бо қайдҳо сабт кардан мумкин аст. Дар бораи чопи тафсилоти воридшавӣ пас аз кӯшиши воридшавӣ фикр кунед. Ё, дар мавриди веб-барнома дар Java, номи браузере, ки корбар кӯшиши пайваст шуданро дорад.
Намунаҳои охирин маъмуланд. Дар ҳарду ҳолат, корбари беруна ба сабте, ки Log4j мебарорад, таъсир мерасонад. Аз ин таъсир истифода бурдан мумкин аст. Журналҳои ҳама гуна версияи Log4j аз 13 сентябри соли 2013 то 5 декабри соли 2021 метавонанд ба барномаҳои Java дастур диҳанд, ки кодро аз сервери дурдаст дар дастгоҳи маҳаллӣ иҷро кунанд.
Аз соли 2013, Log4j API-ро коркард мекунад: JNDI ё Java номгузорӣ ва интерфейси директория. Иловаи JNDI ба барномаи Java имкон медиҳад, ки кодро аз сервери дурдаст дар дастгоҳи маҳаллӣ иҷро кунад. Барномасозон тавассути илова кардани як сатри тафсилот дар бораи сервери дурдаст дар барнома дастур медиҳанд.
Мушкилот дар он аст, ки на танҳо барномасозон метавонанд қоидаро ба барномаҳо илова кунанд. Фарз мекунем, ки Log4j номи корбарони кӯшишҳои ворид шуданро сабт мекунад. Вақте ки касе ба сатри дар боло зикршуда дар майдони номи корбар ворид мешавад, Log4j сатрро иҷро мекунад ва барномаи Java фармонро барои иҷро кардани код дар сервери муайяншуда шарҳ медиҳад. Ҳамин чиз ба ҳолатҳое дахл дорад, ки Log4j дархости HTTPS-ро сабт мекунад. Агар шумо номи браузерро ба сатр иваз кунед, Log4j хатро иҷро мекунад ва бавосита ба он дастур медиҳад, ки кодро мувофиқи дилхоҳ иҷро кунад.
Ямоқи фавқулодда низ метавонад хатарнок бошад
9 декабр осебпазирӣ дар миқёси васеъ ошкор шуд. Бунёди нармафзори Apache, таҳиягари Log4j, барои ислоҳи осебпазирӣ як ямоқи фавқулодда (2.15) баровард. Аз он вақт инҷониб, барои фурӯшандагони нармафзор коркарди версияи 2.15 ва пешниҳоди пачка барои созмонҳо авлавияти аввалиндараҷа буд.
Аммо, созмони амниятии LunaSec мегӯяд, ки ямоқи пурра обногузар нест. Имконияти танзим кардани танзимот ва сабти фармонҳои JNDI иҷрошуда боқӣ мемонад.
Лутфан таваҷҷӯҳ намоед: танзимоти мувофиқ бояд дастӣ танзим карда шавад, то вариантҳои тағирнаёфтаи 2.15 воқеан бехатар бошанд. Бо вуҷуди ин, Luna Sec тавсия медиҳад, ки таъминкунандагон ва созмонҳо ба Log4j 2.16. 2.16 аз ҷониби Бунёди нармафзори Apache дар посух ба LunaSec нашр шудааст. Версияи нав танзимоти осебпазирро комилан нест мекунад ва фароҳам овардани шароитро барои сӯиистифода ғайриимкон мекунад.