آسیب‌پذیری روز صفر در log4j

چند ساعتی از انتشار عمومی رخنه امنیتی کتابخانه log4j که بصورت وسیع در برنامه‌های نوشته شده به زبان جاوا، می‌گذرد. این آسیب‌پذیری با شماره CVE-2021-44228 شناخته شده و تمامی نگارش‌های مابین ۲.۰.۰ تا ۲.۱۴.۱ را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری به هکران امکان اتصال از راه‌دور و به‌دست‌گیری کنترل کل سرور را می‌دهند. این آسیب‌پذیری ابتدا در minecraft شناخته شد اما پس از مدتی، محققان متوجه شدند که بسیاری از نرم‌افزارهای ابری تحت تاثیر این آسیب‌پذیری هستند.

اگر شما از آسیب‌پذیر بودن برنامه‌های خود اطلاع ندارید، پیشنهاد می‌کنیم برنامه‌نویس / مدیر فنی / ارائه دهنده خدمات وب‌هاستینگ خود را در جریان بگذارید و از امن بود برنامه‌های خود اطلاع حاصل کنید. ممکن است برنامه‌شما به‌صورت مستقیم از این کتابخانه استفاده نکرده باشند اما از پروژه‌های دیگری مانند elasticsearch استفاده کرده باشید که آن‌ها از کتابخانه log4j استفاده می‌کنند.

برای بستن این رخنه، می‌توانید log4j2.formatMsgNoLookups را روی حالت روشن یا true قرار دهید. برای این کار، دستور زیر را به کامند (command) آغازین JVM خود اضافه کنید.

‐Dlog4j2.formatMsgNoLookups=True

همچنین فورا، تمامی کتابخانه‌های log4j خود را به نگارش ۲.۱۵.۰ این برنامه بروزرسانی کنید.


برای بررسی اینکه قبلا از این حمله آسیب دیده‌اید، پیشنهاد می‌شود که تا log برنامه‌هایی که این رخنه را داشته‌اند را به منظور یافتن هرگونه رفتار مشکوک بررسی کنید. برای مطالعه بیشتر اینجا را بخوانید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.