Tiyak na mayroon ka nang nabasa o nakita sa mga social network. log4j Ito ay hindi isang kahinaan mismo, ngunit ang pangalan ng isang open source library na binuo sa Java (ito ay naisulat din sa iba pang mga wika tulad ng Ruby, C, C ++, Python, atbp.) ng Apache Software Foundation . Salamat dito, maaaring ipatupad ng mga developer ng software ang mga mensahe ng log ng transaksyon sa runtime sa iba't ibang antas ng kahalagahan.
La kahinaan CVE-2021-44228 na kamakailang inilabas ay nakakaapekto sa Apache Log4j 2.x. Ang kahinaan ay tinawag na Log4Shell o LogJam, at ito ay natuklasan noong Disyembre 9 ng isang cybersecurity engineer na tumatawag sa kanyang sarili p0rz9 networking. Ang ekspertong ito ay naglathala rin ng isang imbakan sa Github tungkol sa security hole na ito.
Ang kahinaan ng Log4j na ito ay nagbibigay-daan sa pagsasamantala ng maling input validation sa LDAP, na nagpapahintulot remote code execution (RCE), at pagkompromiso sa server (pagiging kumpidensyal, integridad ng data at pagkakaroon ng system). Bilang karagdagan, ang problema o kahalagahan ng kahinaang ito ay nakasalalay sa bilang ng mga application at server na gumagamit nito, kabilang ang software ng negosyo at mga serbisyo sa cloud gaya ng Apple iCloud, Steam, o mga sikat na video game gaya ng Minecraft: Java Edition, Twitter, Cloudflare, Tencent , ElasticSearch, Redis, Elastic Logstash, at isang mahabang atbp.
Dahil sa kadalian ng operasyon at ang mga kritikal na sistema na gumagamit nito, maraming cybercriminal ang malamang na pagsasamantalahan ito upang maikalat ang kanilang ransomware. Habang sinusubukan ng iba na makabuo ng mga solusyon, tulad ni Florian Roth ng Nextron Systems, na nagbahagi ng ilan Mga panuntunan ng YARA upang makita ang mga pagtatangka upang pagsamantalahan ang kahinaan ng Log4j.
Mabilis din itong inayos ng Apache Foundation, na naglabas ng patch para sa kahinaang ito. Samakatuwid, ito ay mahalaga Kahalagahan na mag-update ka sa Log4j na bersyon 2.15.0 ngayon., kung mayroon kang apektadong server o system. Para sa karagdagang impormasyon kung paano ito gagawin, maaari mong bisitahin ito link sa pag-download at may impormasyon tungkol dito.