די פּראַל פון די פאַרנאַנט וואַלנעראַביליטי אין Java ביבליאָטעק Log4j דראַגס אויף. כאָטש די ביגאַסט פּראָבלעם איז סאַלווד מיט דרינגלעך לאַטע 2.16, די ווערסיע איז אויך סאַסעפּטאַבאַל צו זידלען. זיכערהייט ריסערטשערז געפונען אַן אַרייַנגאַנג פֿאַר דעניאַל פון סערוויס (דאָס) אנפאלן. Log4j 2.17 איז ארויס צו פאַרמאַכן דעם פּאָזיציע.
Apache, דעוועלאָפּער פון די Java ביבליאָטעק, אַדווייזיז אָרגאַנאַזיישאַנז צו צולייגן די נויטפאַל לאַטע. די עצה אַפּלייז פֿאַר די דריט מאָל זינט די ביבליאָטעק איז געפֿונען שפּירעוודיק.
מיט אַ וואָך און אַ האַלב צוריק, זיכערהייט ריסערטשערז פון אַליבאַבאַ ס cloud זיכערהייט מאַנשאַפֿט אנטפלעקט אַ מעטאָד צו זידלען אַפּלאַקיישאַנז מיט Log4j. Log4j איז געניצט אין אַפּלאַקיישאַנז צו קלאָץ געשעענישן. עס איז געווען מעגלעך צו אַקסעס אַפּלאַקיישאַנז מיט דער ביבליאָטעק פֿון אַרויס מיט ינסטראַקשאַנז פֿאַר עקסאַקיוטינג מאַלוואַרע. זידלען נעמט ביסל מער ווי אַ קנאַקן. לייג צו אַז די עסטימאַטעד פּאַסירונג פון דער ביבליאָטעק אין רובֿ פֿירמע ינווייראַנמאַנץ און איר פֿאַרשטיין די וואָג פון די ומגליק פייסינג די גלאבאלע IT לאַנדשאַפט.
ווייכווארג דעוועלאָפּערס אַזאַ ווי פאָרטינעט, סיסקאָ, יבם און דאַזאַנז פון אנדערע נוצן די ביבליאָטעק אין זייער ווייכווארג. זייער דעוועלאָפּערס געארבעט איבער די אָפּרוטעג 11 דעצעמבער צו פּראַסעסינג דער ערשטער נויטפאַל לאַטע פֿאַר די וואַלנעראַביליטי און צושטעלן עס צו באַניצער אָרגאַנאַזיישאַנז. פּונקט דער זעלביקער דריפט איז געווען דערוואַרט פון די IT טימז אין די אָרגאַנאַזיישאַנז. הונדערטער פון טויזנטער פון באַפאַלן פרווון זענען פארגעקומען ווערלדווייד. אַלעמען האט צו באַשטימען צו 2.15 ווי באַלד ווי מעגלעך - ביז 2.15 איז אויך געפונען צו זיין שפּירעוודיק.
זיכער קאַנפיגיעריישאַנז פון דער ביבליאָטעק פארבליבן מעגלעך אין ווערסיע 2.15. ניצן די קאַנפיגיעריישאַנז פּערפּעטשאַווייטיד די וואַלנעראַביליטי. ווערסיע 2.16 געמאכט די קאַנפיגיעריישאַנז אוממעגלעך, געראַנטיד אַ נייַע לאַטע. אָפט צו די צער פון שוין אָוווערווערקט עס טימז. אָבער, עס קען שטענדיק זיין ערגער, ווייַל 2.16 אויך האט אַ קרענק.
צוריק צו אָנהייבן
די מאַסיוו גלאבאלע ופמערקזאַמקייט צו דעם פּראָבלעם פּראַמפּטיד מאַסיוו ווערלדווייד ויספאָרשונג. אַפּאַטשי, דעוועלאָפּער פון דער ביבליאָטעק, קען ניט ווי צו כאַפּן זיין אָטעם פֿאַר צוויי טעג אָן אַ זיכערהייט פירמע וואָס ווייזט אויף אַ נייַ, דרינגלעך פּראָבלעם.
אין קורץ, עס טורנס אויס אַז עס איז מעגלעך צו לויפן דאַזאַנז פון ווערסיעס פון לאָג4דזש - אַרייַנגערעכנט 2.16 - מיט איין שורה (שטריקל) צו אָנהייבן אַן אייביק שלייף וואָס קראַשיז די אַפּלאַקיישאַן. די באדינגונגען וואָס אַ סוויווע מוזן טרעפן צו זיין אַביוזד זענען ברייט. אַזוי ברייט אַז די פּראַקטיש סיריאַסנאַס פון די פּראָבלעם איז דיספּיוטיד. דער לאַטע איז אַפישאַלי רעקאַמענדיד, אָבער ניט אַלעמען איז קאַנווינסט.
ווידער, ניט יעדער בייַשפּיל פון Log4j איז שפּירעוודיק, אָבער בלויז קאַסעס ווען די ביבליאָטעק איז פליסנדיק אויף מנהג סעטטינגס. א פּאָטענציעל אַטאַקער אויך דאַרף דיטיילד ינסייט אין ווי Log4j אַרבעט. א קאַנטראַסט צו דער ערשט, לייכט צוטריטלעך וואַלנעראַביליטי.