لاگ۴جی
توسعهدهنده(ها) | بنیاد نرمافزار آپاچی |
---|---|
انتشار اولیه | ۸ ژانویه ۲۰۰۱[۱] |
انتشار پایدار | ۲٫۱۵٫۰
/ ۶ دسامبر ۲۰۲۱[۲] |
مخزن | Log4j Repository |
نوشتهشده با | جاوا |
سیستمعامل | نرمافزار چندسکویی |
نوع | پرونده رخداد |
مجوز | مجوز آپاچی |
وبگاه |
آپاچی لاگ۴جی (به انگلیسی: Log4j) یک ابزار لاگ مبتنی بر جاوا است که در اصل توسط چکی گلچو نوشته شدهاست و بخشی از پروژه Apache Logging Services بنیاد نرمافزار آپاچی است. Log4j یکی از چندین چارچوب لاگ جاوا است.
گلچو از آن زمان پروژههای SLF4J و Logback[۳] را با هدف ارائه جانشینی برای Log4j آغاز کردهاست.
در ۵ آگوست ۲۰۱۵، کمیته مدیریت پروژه Apache Logging Services اعلام کرد[۴] که Log4j 1 به پایان عمر خود رسیدهاست و به کاربران Log4j 1 توصیه میشود که به آپاچی Log4j 2 ارتقاء دهند.
آسیبپذیری Log4Shell
[ویرایش]یک آسیبپذیری روز صفر اجرای کد از راه دور در Log4j 2، به نام Log4Shell (CVE-2021-44228)، در ۹ دسامبر ۲۰۲۱ ظاهر شد. سرویسهای تحت تأثیر عبارتند از کلودفلر، آیکلاد، ماینکرفت، استیم، تنسنت کیوکیو و توئیتر.[۵][۶][۷] ویژگی ایجاد کننده این آسیبپذیری را میتوان با تنظیمات پیکربندی غیرفعال کرد که بهطور پیش فرض در نسخه ۲٫۱۵٫۰ که چند روز قبل بهطور رسمی منتشر شد غیرفعال شدهاست.[۸] بنیاد نرمافزار آپاچی حداکثر درجه آسیبپذیری ۱۰ را به Log4Shell اختصاص دادهاست.[۷]
این آسیبپذیری به راحتی قابل بهرهبرداری است و مهاجمان را قادر میسازد تا کنترل کامل سرورهای آسیب دیده را به دست آورند. این آسیبپذیری که بهعنوان CVE-2021-44228 ردیابی میشود امکان اجرای کد از راه دور غیرقابل تأیید را میدهد، زیرا کاربر در حال اجرا برنامه از کتابخانه لاگ جاوا استفاده میکند. CISA از کاربران و مدیران خواستهاست که اقدامات کاهشی توصیه شده را «فوراً» به منظور رسیدگی به آسیبپذیریهای حیاتی اعمال کنند.[۹][۱۰]
سیستمها و سرویسهایی که از کتابخانه لاگ جاوا، Apache Log4j بین نسخههای ۲٫۰ و ۲٫۱۴٫۱ استفاده میکنند، از جمله بسیاری از سرویسها و برنامههای کاربردی نوشته شده در جاوا همگی تحت تأثیر قرار میگیرند. این آسیبپذیری ابتدا در ماینکرفت کشف شد، اما محققان هشدار میدهند که برنامههای کاربردی ابری نیز آسیبپذیر هستند. یک پست وبلاگ توسط محققان LunaSec هشدار میدهد که هر کسی که از Apache Struts استفاده میکند «احتمالاً آسیبپذیر است.» LunaSec گفت: "با توجه به فراگیر بودن این کتابخانه، تاثیر اکسپلویت (کنترل کامل سرور)، و سهولت بهره برداری از آن، تاثیر این آسیب پذیری بسیار شدید است. ما آن را به اختصار "Log4Shell" مینامیم.[۱۰]
به منظور کاهش آسیبپذیریها، کاربران باید log4j2.formatMsgNoLookups را با افزودن: "- Dlog4j2.formatMsgNoLookups = True" به دستور JVM برای شروع برنامه به true تغییر دهند. برای جلوگیری از سوء استفاده از کتابخانه، فوراً توصیه شدهاست که نسخههای Log4j به log4j-2.15.0-rc1 ارتقا داده شوند.[۱۰]
منابع
[ویرایش]- ↑ "Apache Log4j 1.2 Release History". apache.org. Apache Software Foundation. Retrieved 2014-09-02.
- ↑ "Log4j – Changes - Apache Log4j 2". apache.org. Apache Software Foundation. Archived from the original on 25 April 2022. Retrieved 2021-12-10.
- ↑ "Logback Home". Logback.qos.ch. Retrieved 2014-07-24.
- ↑ "Apache™ Logging Services™ Project Announces Log4j™ 1 End-Of-Life; Recommends Upgrade to Log4j 2". blogs.apache.org. 2015-08-05. Retrieved 2016-07-03.
- ↑ Goodin, Dan (December 9, 2021). "Zeroday in ubiquitous Log4j tool poses a grave threat to the Internet". ارز تکنیکا. Retrieved December 10, 2021.
- ↑ "Worst Apache Log4j RCE Zero day Dropped on Internet". Cyber Kendra. December 9, 2021. Retrieved December 10, 2021.
- ↑ ۷٫۰ ۷٫۱ Mott, Nathaniel (December 10, 2021). "Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit". پیسی مگزین. Retrieved December 10, 2021.
- ↑ "Apache Log4j Security Vulnerabilities". Retrieved 2021-12-10.
- ↑ "Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit". PCMAG (به انگلیسی). Retrieved 2021-12-11.
- ↑ ۱۰٫۰ ۱۰٫۱ ۱۰٫۲ Palmer, Danny. "Security warning: New zero-day in the Log4j Java library is already being exploited". ZDNet (به انگلیسی). Retrieved 2021-12-11.
خواندن بیشتر
[ویرایش]- Gülcü, Ceki (February 2010), The Complete Log4j Manual (2nd ed.), QOS.ch, p. 204, ISBN 978-2-9700369-0-6
- Gupta, Samudra (June 22, 2005), Pro Apache Log4j (2nd ed.), Apress, p. 224, ISBN 978-1-59059-499-5