Patch pajawiri fun ailagbara olokiki ni ikawe Java Log4j kii ṣe aṣiwere. Ipilẹ Software Apache n ṣe idasilẹ ẹya tuntun lati ṣatunṣe ailagbara ni ẹẹkan ati fun gbogbo.
Ailagbara kan ni ile-ikawe olokiki olokiki fun Java n gbọn ala-ilẹ IT agbaye. A ṣe iṣiro pe ile-ikawe wa ni ọpọlọpọ awọn agbegbe ile-iṣẹ.
Log4j ni pataki lo fun gedu. Awọn iṣẹlẹ ni awọn ohun elo le jẹ forukọsilẹ pẹlu awọn akọsilẹ. Ronu ti atẹjade ti awọn alaye iwọle lẹhin igbiyanju iwọle kan. Tabi, ninu ọran ohun elo wẹẹbu kan ni Java, orukọ aṣawakiri ti olumulo n gbiyanju lati sopọ si.
Awọn apẹẹrẹ ti o kẹhin jẹ wọpọ. Ni awọn ọran mejeeji, olumulo ita kan ni ipa lori log ti Log4j ṣe jade. O ṣee ṣe lati ṣe ilokulo ipa yẹn. Awọn akọọlẹ ti ẹya Log4j eyikeyi laarin Oṣu Kẹsan Ọjọ 13, Ọdun 2013 ati Oṣu kejila ọjọ 5, 2021 ni anfani lati kọ awọn ohun elo Java lati ṣiṣe koodu naa lati ọdọ olupin latọna jijin lori ẹrọ agbegbe kan.
Lati ọdun 2013, Log4j ti n ṣisẹ API kan: JNDI, tabi Java Nameing ati Interface Directory. Awọn afikun ti JNDI ngbanilaaye ohun elo Java lati ṣiṣẹ koodu lati ọdọ olupin latọna jijin lori ẹrọ agbegbe kan. Awọn olupilẹṣẹ ṣe itọnisọna nipa fifi laini kan ti awọn alaye kun nipa olupin latọna jijin ninu ohun elo kan.
Iṣoro naa ni pe kii ṣe awọn pirogirama nikan ni anfani lati ṣafikun ofin si awọn ohun elo. Ṣebi Log4j ṣe igbasilẹ awọn orukọ olumulo ti awọn igbiyanju wiwọle. Nigbati ẹnikan ba tẹ laini ti a ti sọ tẹlẹ ni aaye orukọ olumulo, Log4j n ṣiṣẹ laini ati ohun elo Java tumọ aṣẹ kan lati ṣiṣe koodu naa lori olupin ti o pàtó kan. Kanna n lọ fun awọn ọran nibiti Log4j ṣe igbasilẹ ibeere HTTPS kan. Ti o ba yi orukọ aṣawakiri pada si laini, Log4j nṣiṣẹ laini naa, ni aiṣe-taara kọ ọ lati ṣiṣẹ koodu bi o ṣe fẹ.
Patch pajawiri tun le jẹ ailewu
Ni Oṣu kejila ọjọ 9, ailagbara naa wa si imọlẹ lori iwọn nla kan. Apache Software Foundation, olupilẹṣẹ ti Log4j, ṣe idasilẹ alemo pajawiri (2.15) lati ṣatunṣe ailagbara naa. Lati igbanna, o ti jẹ pataki pataki fun awọn olutaja sọfitiwia lati ṣe ilana ẹya 2.15 ati pese alemo kan fun awọn ẹgbẹ.
Sibẹsibẹ, agbari aabo LunaSec sọ pe alemo ko ni omi patapata. O ṣee ṣe lati ṣatunṣe eto kan ati lati wọle si awọn aṣẹ JNDI ti o ṣiṣẹ.
Jọwọ ṣakiyesi: eto ti o yẹ gbọdọ wa ni titunse pẹlu ọwọ, ki awọn iyatọ ti ko yipada ti 2.15 jẹ ailewu nitõtọ. Sibẹsibẹ, Luna Sec ṣeduro pe awọn olupese ati awọn ajọ ṣe imudojuiwọn si Log4j 2.16. 2.16 jẹ atẹjade nipasẹ Apache Software Foundation ni idahun si LunaSec. Ẹya tuntun naa yọ eto alailagbara kuro patapata, jẹ ki ko ṣee ṣe lati ṣẹda awọn ipo fun ilokulo.