آسیبپذیری روز صفر در log4j
چند ساعتی از انتشار عمومی رخنه امنیتی کتابخانه log4j که بصورت وسیع در برنامههای نوشته شده به زبان جاوا، میگذرد. این آسیبپذیری با شماره CVE-2021-44228 شناخته شده و تمامی نگارشهای مابین ۲.۰.۰ تا ۲.۱۴.۱ را تحت تاثیر قرار میدهد. این آسیبپذیری به هکران امکان اتصال از راهدور و بهدستگیری کنترل کل سرور را میدهند. این آسیبپذیری ابتدا در minecraft شناخته شد اما پس از مدتی، محققان متوجه شدند که بسیاری از نرمافزارهای ابری تحت تاثیر این آسیبپذیری هستند.
اگر شما از آسیبپذیر بودن برنامههای خود اطلاع ندارید، پیشنهاد میکنیم برنامهنویس / مدیر فنی / ارائه دهنده خدمات وبهاستینگ خود را در جریان بگذارید و از امن بودن برنامههای خود اطلاع حاصل کنید. ممکن است برنامهشما بهصورت مستقیم از این کتابخانه استفاده نکرده باشند اما از پروژههای دیگری مانند elasticsearch استفاده کرده باشید که آنها از کتابخانه log4j استفاده میکنند.
برای بستن این رخنه، میتوانید log4j2.formatMsgNoLookups را روی حالت روشن یا true قرار دهید. برای این کار، دستور زیر را به کامند (command) آغازین JVM خود اضافه کنید.
‐Dlog4j2.formatMsgNoLookups=True
همچنین فورا، تمامی کتابخانههای log4j خود را به نگارش ۲.۱۵.۰ این برنامه بروزرسانی کنید.
برای بررسی اینکه قبلا از این حمله آسیب دیدهاید، پیشنهاد میشود که تا log برنامههایی که این رخنه را داشتهاند را به منظور یافتن هرگونه رفتار مشکوک بررسی کنید. برای مطالعه بیشتر اینجا را بخوانید.
دیدگاهتان را بنویسید