Dhowr toddobaad ka hor ayaa wararka ku saabsan dhibaatooyinka amniga ee Log4j ay dad badan oo isticmaala shabkada u rogayeen in ay tahay mid ka mid ah cilladaha sida badan looga faa'ideystay oo ay khubarada badani ku tilmaameen «ka ugu khatarta badan waqti dheer », Nuglaanta lagu ogaaday shabakada waxaynu ka hadalnaa qaar ka mid ah halkan on blog ah markanna waxaan helnay war mid kale.
Waana taas maalmo ka hor warka ayaa la sii daayay in nuglaanta kale lagu aqoonsaday maktabadda Log4j 2 (kaas oo horeba ugu taxan CVE-2021-45105) oo, ka duwan labadii arrimood ee hore, waxaa loo kala saaray khatar, laakiin aan muhiim ahayn.
Dhibaatada cusub waxay ogolaataa diidmada adeegga waxayna isu muujisaa qaab wareegyo iyo joojin aan caadi ahayn marka la farsameeyo khadadka qaarkood.
Nuglaanta waxay saamaysaa nidaamyada adeegsada raadinta macnaha guud, sida $ {ctx: var}, si loo go'aamiyo qaabka wax soo saarka log.
ka Noocyada Log4j 2.0-alpha1 ilaa 2.16.0 ayaa ka ilaalin waayay soo noqoshada aan la xakamayn, waa maxay u oggolaaday weeraryahan inuu wax ka beddelo qiimaha loo isticmaalo beddelka si loo sameeyo wareeg aan dhammaanayn oo ka dhammaanaya meel bannaan oo ku taal xidhmada oo sababa in habsocodka uu soo laadlaado. Gaar ahaan, dhibaatadu waxay dhacday markii la beddelayo qiyamka sida "$ {$ {:: - $ {:: - $$ {:: - j}}}}".
Sidoo kale, Waxaa la ogaan karaa in cilmi-baarayaasha Blumira ay soo jeediyeen weerar ku saabsan codsiyada Java ee nugul kuwaas oo aan aqbalin codsiyada shabakadaha dibadda, tusaale ahaan, nidaamyada horumarinta ama isticmaalayaasha codsiyada Java ayaa sidan oo kale loo weerari karaa.
Nuxurka habka waa in haddii ay jiraan hababka Java nugul nidaamka isticmaalaha ee aqbala isku xirka shabakada kaliya ee ka imanaya martigeliyaha maxalliga ah (localhost), ama ka baaraandegaya codsiyada RMI (Codsiga Habka Fog, dekedda 1099), Weerarka waxaa lagu fulin karaa code JavaScript la fuliyay marka isticmaaluhu ka furto bog xaasidnimo ah browserka. Si loo dhiso xidhiidhka dekedda shabakadda ee codsiga Java ee weerarkan oo kale, WebSocket API ayaa loo isticmaalaa, kaas oo, ka duwan codsiyada HTTP, ma jiraan xayiraad asal ah oo la dabaqo (WebSocket waxa kale oo loo isticmaali karaa in lagu sawiro dekedaha shabakadaha maxaliga ah. martigeliyaha si loo go'aamiyo wadayaasha shabakada ee la heli karo).
Natiijooyinka qiimaynta nuglaanshaha maktabadaha la xidhiidha ku-tiirsanaanta Log4j ee Google ayaa iyaguna xiiso leh. Sida laga soo xigtay Google, dhibaatadu waxay saamaysaa 8% dhammaan xirmooyinka ku jira kaydka Maven Central.
Gaar ahaan, 35863 Log4j xirmooyinka Java ee la xiriira ee leh ku-tiirsanaanta tooska ah iyo kuwa aan tooska ahayn ayaa la kulmay baylahda. Dhanka kale, Log4j waxaa loo isticmaalaa ku tiirsanaanta tooska ah ee heerka koowaad kaliya 17% kiisaska, iyo 83% baakadaha ay dabooleen nuglaanshaha, xiritaanka waxaa lagu sameeyaa xirmo dhexdhexaad ah oo ku xiran Log4j, taasi waa u sheeg. ku tiirsanaanta heerka labaad iyo kan ugu sarreeya (21% - heerka labaad, 12% - saddexaad, 14% - afraad, 26% - shanaad, 6% - lixaad).
Xawliga dayac-tirka nuglaanta ayaa wali ka tagaysa wax badan oo la rabo, usbuuc ka dib markii la aqoonsaday nuglaanta, 35863 baakadood oo la aqoonsaday, dhibaatada ayaa la xaliyay ilaa hadda kaliya 4620, taas oo ah, 13%.
Isbeddellada xirmada ayaa lagama maarmaan u ah in la cusboonaysiiyo shuruudaha ku-tiirsanaanta laguna beddelo xirmooyinka noocii hore oo leh noocyo go'an oo Log4j 2 ah ( xirmooyinka Java waxay ku dhaqmaan ku-xidhka nooc gaar ah, oo ma aha kala duwanaansho furan oo oggolaanaysa rakibidda noocii ugu dambeeyay).
Ciribtirka nuglaanshaha codsiyada Java waxaa caqabad ku ah xaqiiqda ah in barnaamijyadu ay inta badan ku jiraan nuqul ka mid ah maktabadaha marka la keenayo, kumana filna in la cusbooneysiiyo nooca Log4j 2 ee xirmooyinka nidaamka.
Dhanka kale, Wakaaladda Maraykanka ee Ilaalinta Kaabayaasha Dhaqaalaha iyo Amniga Internetka ayaa soo saartay awaamiir degdeg ah oo looga baahan yahay hay'adaha federaalka inay aqoonsadaan nidaamyada macluumaadka ee ay saameysay nuglaanta Log4j oo ay ku rakibaan cusbooneysiin xannibaya dhibaatada ka hor Disembar 23.
Dhinaca kale, waxa la soo saaray xeer ilaa 28-ka December, kaas oo hay’aduhu ay waajib ku tahay inay ka warbixiyaan hawlaha la qabtay. Si loo fududeeyo aqoonsiga nidaamyada dhibaatada leh, liiska alaabooyinka kaas oo muujinta nuglaanshaha la xaqiijiyay ayaa la diyaariyay (waxaa jira in ka badan 23 kun oo codsiyo liiska).
Ugu dambeyntii, Waxaa xusid mudan in nuglaanta lagu hagaajiyay Log4j 2.17 kaas oo la daabacay maalmo ka hor. iyo isticmaalayaasha leh casriyeynta naafada ah waxaa lagula talinayaa inay fuliyaan cusbooneysiinta u dhiganta, marka lagu daro xaqiiqda ah in khatarta nuglaanshaha la yareeyo xaqiiqda ah in dhibaatadu ay ka muuqato kaliya nidaamyada Java 8.
source: https://logging.apache.org/