ב 9/12/2021 נחשפה חולשה ברמת חומרה גבוהה ביותר בספריית Java בשם Log4j. הספרייה הזו מאפשרת שמירת לוגים, ומידע על משתמשי התוכנה כגון מאיזה דפדפן נכנסו למערכת, איזה מכשיר, איזה דפים הוא עבר במהלך העבודה וכדומה ולכן סביר מאוד להניח שמי שעובד עם תוכנה מבוססת Java עושה שימוש עם ספרייה זו. הגרסאות הפגיעות: הגרסאות הפגיעות הן גרסה 2 של הספריה, החל מ- 2.0-beta9 ועד לגרסה 2.14.1.
החולשה מאפשרת לתקוף לבצע הזרקת קוד, על ידי חיפוש אובייקטים המתאפשרת באמצעות הספרייה, העניין שתוכניתן יכול לבצע חיפוש של רכיב מסויים או אובייקט, שלא רק דרך שרת התוכנה וכאן נכנסת החולשה כי ב Log4j יש שימוש במיוחד בחיפוש זה, גם כשמזינים לה מחרוזת, אם האובייקט שאנחנו מחפשים מכיל קוד, אותה המחרוזת יכול גם להפעיל אותו.
איך מטפלים בחולשה?
- לבצע שדרוג לספריית Log4j לגרסה האחרונה שיצאה: v2.15.0
2. מעקף : Log4j.formatMsgNoLookups=true
כבודקי תוכנה אנחנו נדרשים לסייע באירוע, ולבדוק לאחר השדרוג של ספריית Log4j רגרסיה רחבה, ושימוש באובייקטים רלוונטיים, מומלץ לבדוק מול התוכניתן את השימושיות שעשה באמצעות הספריה הנ"ל.
TesQA 