די נויטפאַל לאַטע פֿאַר די פאַרנאַנט וואַלנעראַביליטי אין Java ביבליאָטעק Log4j איז נישט פולפּראָאָף. די אַפּאַטשי ווייכווארג וויקיפּעדיע איז ריליסינג אַ נייַע ווערסיע צו פאַרריכטן די וואַלנעראַביליטי אַמאָל און פֿאַר אַלע.
א וואַלנעראַביליטי אין אַ זייער פאָלקס ביבליאָטעק פֿאַר Java איז שאַקינג די גלאבאלע IT לאַנדשאַפט. עס איז עסטימאַטעד אַז די ביבליאָטעק יגזיסץ אין רובֿ פֿירמע ינווייראַנמאַנץ.
Log4j איז דער הויפּט געניצט פֿאַר לאָגינג. געשעענישן אין אַפּלאַקיישאַנז קענען זיין רעגיסטרירט מיט הערות. טראַכטן פון אַ פּרינטאַוט פון די לאָגין דעטאַילס נאָך אַ לאָגין פּרווון. אָדער, אין דעם פאַל פון אַ וועב אַפּלאַקיישאַן אין Java, דער נאָמען פון דעם בלעטערער אַ באַניצער איז טריינג צו פאַרבינדן צו.
די לעצטע ביישפילן זענען פּראָסט. אין ביידע קאַסעס, אַ פונדרויסנדיק באַניצער ינפלואַנסיז די קלאָץ אַז Log4j אַוטפּוץ. עס איז מעגלעך צו זידלען אַז השפּעה. די לאָגס פון קיין Log4j ווערסיע צווישן 13 סעפטעמבער 2013 און 5 דעצעמבער 2021 קענען אָנווייַזן ז'אבא אַפּלאַקיישאַנז צו לויפן די קאָד פֿון אַ ווייַט סערווער אויף אַ היגע מיטל.
זינט 2013, Log4j האט פּראַסעסט אַן אַפּי: JNDI אָדער Java נאַמינג און Directory צובינד. די אַדישאַן פון JNDI אַלאַוז אַ Java אַפּלאַקיישאַן צו לויפן קאָד פון אַ ווייַט סערווער אויף אַ היגע מיטל. פּראָגראַממערס לערנען דורך אַדינג אַ איין שורה פון דעטאַילס וועגן די ווייַט סערווער אין אַ אַפּלאַקיישאַן.
דער פּראָבלעם איז אַז ניט בלויז פּראָוגראַמערז קענען לייגן די הערשן צו אַפּלאַקיישאַנז. רעכן Log4j לאָגס די וסערנאַמעס פון לאָגין פרווון. ווען עמעצער גייט אריין די אַפאָרמענשאַנד שורה אין די נאמען פעלד, Log4j לויפט די שורה און די Java אַפּלאַקיישאַן ינטערפּראַץ אַ באַפֿעל צו לויפן די קאָד אויף די ספּעסאַפייד סערווער. דער זעלביקער גייט פֿאַר קאַסעס ווו Log4j לאָגס אַ HTTPS בעטן. אויב איר טוישן אַ בלעטערער נאָמען צו די שורה, Log4j לויפט די שורה, און מינאַצאַד ינסטרוקטינג עס צו לויפן קאָד ווי געוואלט.
נויטפאַל לאַטע קענען אויך זיין אַנסייף
דעם 9טן דעצעמבער איז די וואלנעראַביליטי ארויסגעקומען אויף א גרויסן פארנעם. די אַפּאַטשי ווייכווארג וויקיפּעדיע, דעוועלאָפּער פון Log4j, באפרייט אַ נויטפאַל לאַטע (2.15) צו פאַרריכטן די וואַלנעראַביליטי. זינט דעמאָלט, עס איז געווען אַ העכסט בילכערקייַט פֿאַר ווייכווארג ווענדאָרס צו פּראָצעס ווערסיע 2.15 און צושטעלן אַ לאַטע פֿאַר אָרגאַנאַזיישאַנז.
אָבער, זיכערהייט אָרגאַניזאַציע LunaSec זאגט אַז די לאַטע איז נישט גאָר וואָטערטייט. עס בלייבט מעגלעך צו סטרויערן אַ באַשטעטיקן און עקסאַקיוטאַד לאָגד JNDI קאַמאַנדז.
ביטע טאָן: די באַטייַטיק באַשטעטיקן מוזן זיין אַדזשאַסטיד מאַניואַלי, אַזוי אַז אַנמאַדאַפייד וועריאַנץ פון 2.15 זענען טאַקע זיכער. פונדעסטוועגן, Luna Sec רעקאַמענדז אַז סאַפּלייערז און אָרגאַנאַזיישאַנז דערהייַנטיקן צו Log4j 2.16. 2.16 איז ארויס דורך Apache Software Foundation אין ענטפער צו LunaSec. די נייַע ווערסיע רימוווז גאָר די שפּירעוודיק באַשטעטיקן, וואָס מאכט עס אוממעגלעך צו שאַפֿן די באדינגונגען פֿאַר זידלען.