แน่นอนว่าคุณได้อ่านบางสิ่งบางอย่างหรือเห็นบางสิ่งบางอย่างบนเครือข่ายสังคมออนไลน์ log4j ไม่ใช่ช่องโหว่ แต่เป็นชื่อของไลบรารีโอเพ่นซอร์สที่พัฒนาใน Java (ยังถูกเขียนในภาษาอื่นเช่น Ruby, C, C ++, Python เป็นต้น) โดย Apache Software Foundation . ด้วยเหตุนี้ นักพัฒนาซอฟต์แวร์จึงสามารถนำข้อความบันทึกธุรกรรมไปใช้ที่รันไทม์ที่ระดับความสำคัญต่างๆ ได้
La ความอ่อนแอ CVE-2021-44228 ที่เพิ่งเปิดตัวมีผลกับ Apache Log4j 2.x ช่องโหว่นี้เรียกว่า Log4Shell หรือ LogJam และถูกค้นพบเมื่อวันที่ 9 ธันวาคมโดยวิศวกรความปลอดภัยทางไซเบอร์ที่เรียกตัวเองว่า p0rz9 เครือข่าย ผู้เชี่ยวชาญรายนี้ยังตีพิมพ์ a ที่เก็บบน Github เกี่ยวกับช่องโหว่ด้านความปลอดภัยนี้
ช่องโหว่ของ Log4j นี้ทำให้สามารถใช้ประโยชน์จากการตรวจสอบความถูกต้องอินพุตที่ไม่ถูกต้องไปยัง LDAP ได้ ทำให้ การเรียกใช้โค้ดจากระยะไกล (RCE) และการประนีประนอมเซิร์ฟเวอร์ (การรักษาความลับ ความสมบูรณ์ของข้อมูล และความพร้อมใช้งานของระบบ) นอกจากนี้ ปัญหาหรือความสำคัญของช่องโหว่นี้อยู่ในจำนวนแอปพลิเคชันและเซิร์ฟเวอร์ที่ใช้งาน รวมถึงซอฟต์แวร์ธุรกิจและบริการคลาวด์ เช่น Apple iCloud, Steam หรือวิดีโอเกมยอดนิยม เช่น Minecraft: Java Edition, Twitter, Cloudflare, Tencent , ElasticSearch, Redis, Elastic Logstash และอื่นๆ
รับ ความสะดวกในการใช้งาน และระบบที่สำคัญที่ใช้มัน อาชญากรไซเบอร์จำนวนมากมีแนวโน้มที่จะใช้ประโยชน์จากมันเพื่อแพร่กระจายแรนซัมแวร์ของพวกเขา ในขณะที่คนอื่นๆ พยายามคิดหาวิธีแก้ปัญหา เช่น Florian Roth จาก Nextron Systems ที่ได้แบ่งปันบ้าง กฏของ YARA เพื่อตรวจจับความพยายามที่จะใช้ประโยชน์จากช่องโหว่ของ Log4j
Apache Foundation ได้แก้ไขอย่างรวดเร็ว โดยออกแพตช์สำหรับช่องโหว่นี้ ดังนั้นจึงเป็นเรื่องสำคัญ ความสำคัญที่คุณอัปเดตเป็น Log4j เวอร์ชัน 2.15.0 ทันที., หากคุณมีเซิร์ฟเวอร์หรือระบบที่ได้รับผลกระทบ ดูวิธีการเพิ่มเติมได้ที่ ลิ้งค์ดาวน์โหลด และมีข้อมูลเกี่ยวกับเรื่องนี้