Log4j Java kutubxonasidagi nomaqbul zaiflik uchun favqulodda tuzatish tuzatmasi ishonchli emas. Apache Software Foundation zaiflikni bir marta va butunlay tuzatish uchun yangi versiyani chiqaradi.
Java uchun juda mashhur kutubxonadagi zaiflik global IT landshaftini larzaga keltirmoqda. Taxminlarga ko'ra, kutubxona ko'pchilik korporativ muhitda mavjud.
Log4j asosan jurnalga yozish uchun ishlatiladi. Ilovalardagi voqealar qaydlar bilan qayd etilishi mumkin. Kirish urinishidan keyin kirish ma'lumotlarini chop etishni o'ylab ko'ring. Yoki Java-da veb-ilova bo'lsa, foydalanuvchi ulanishga harakat qilayotgan brauzer nomi.
Oxirgi misollar keng tarqalgan. Ikkala holatda ham tashqi foydalanuvchi Log4j chiqaradigan jurnalga ta'sir qiladi. Bu ta'sirni suiiste'mol qilish mumkin. 4-yil 13-sentabrdan 2013-yil 5-dekabrgacha boʻlgan har qanday Log2021j versiyasining jurnallari Java ilovalariga mahalliy qurilmadagi masofaviy serverdan kodni ishga tushirishga koʻrsatma berishi mumkin.
2013 yildan beri Log4j API: JNDI yoki Java nomlash va katalog interfeysini qayta ishlamoqda. JNDI qo'shilishi Java dasturiga mahalliy qurilmadagi masofaviy serverdan kodni ishga tushirish imkonini beradi. Dasturchilar dasturga masofaviy server haqida bir qator tafsilotlarni qo'shish orqali ko'rsatma berishadi.
Muammo shundaki, nafaqat dasturchilar qoidalarni ilovalarga qo'shishlari mumkin. Faraz qilaylik, Log4j tizimga kirishga urinishlar foydalanuvchi nomlarini qayd qiladi. Kimdir foydalanuvchi nomi maydoniga yuqorida aytib o'tilgan qatorga kirsa, Log4j qatorni ishga tushiradi va Java ilovasi belgilangan serverda kodni ishga tushirish buyrug'ini sharhlaydi. Log4j HTTPS so'rovini qayd qilgan holatlar uchun ham xuddi shunday. Agar siz brauzer nomini satrga o'zgartirsangiz, Log4j chiziqni ishga tushiradi va bilvosita kerakli kodni ishga tushirishni buyuradi.
Favqulodda yamoq ham xavfli bo'lishi mumkin
9 dekabr kuni zaiflik keng miqyosda aniqlandi. Log4j dasturini ishlab chiqaruvchi Apache Software Foundation zaiflikni tuzatish uchun favqulodda yamoqni (2.15) chiqardi. O'shandan beri dasturiy ta'minot ishlab chiqaruvchilari uchun 2.15 versiyasini qayta ishlash va tashkilotlar uchun yamoqni taqdim etish ustuvor vazifa bo'lib kelgan.
Biroq, LunaSec xavfsizlik tashkiloti yamoq butunlay suv o'tkazmasligini ta'kidlaydi. Sozlamani o'zgartirish va JNDI buyruqlarini ro'yxatdan o'tkazish mumkin bo'lib qoladi.
E'tibor bering: 2.15 ning o'zgartirilmagan variantlari haqiqatan ham xavfsiz bo'lishi uchun tegishli sozlamani qo'lda sozlash kerak. Shunga qaramay, Luna Sec yetkazib beruvchilar va tashkilotlarga Log4j 2.16. 2.16 LunaSec-ga javoban Apache Software Foundation tomonidan nashr etilgan. Yangi versiya zaif sozlamani butunlay olib tashlaydi, bu esa suiiste'mol qilish uchun sharoit yaratishni imkonsiz qiladi.