Câu hỏi Log4j là gì? Log4j đang gặp vấn đề gì? được rất nhiều quý độc giả tìm kiếm hãy cùng rovapharma.com tìm hiểu nhé

Log4j là gì, cùng Rovapharma.com tìm hiểu về Log4j là gì, hãy cùng Rovapharma.com đọc ngay để tìm hiểu nhé!

Log4j là gì?

Log4j là một thư viện được sử dụng trong nhiều ứng dụng Java. Log4j là một trong những thư viện Java nổi tiếng nhất cho đến nay. Hầu hết các ứng dụng Java thực hiện ghi dữ liệu và không có gì làm cho nó dễ dàng hơn Log4j.


Quảng cáo

Log4j là một thư viện của Java vàVâng, ngay cả khi ngôn ngữ lập trình không phổ biến lắm với người tiêu dùng ngày nay, nó vẫn được sử dụng rộng rãi trong các hệ thống kinh doanh và ứng dụng web.

Thách thức ở đây là tìm ra Log4j vì cách hoạt động của tính năng đóng gói Java. Có thể bạn đã ẩn Log4j ở đâu đó trong ứng dụng của mình và thậm chí không biết điều đó.

Trong hệ sinh thái Java, các phụ thuộc được phân phối dưới dạng các kho lưu trữ Java (JAR), là các gói có thể được sử dụng như các thư viện Java. Các công cụ thường được sử dụng, chẳng hạn như Maven và Gradle, có thể tự động thêm tệp JAR khi bạn tạo ứng dụng Java của mình.

Một JAR cũng có thể có một JAR khác để đáp ứng sự phụ thuộc, có nghĩa là một lỗ hổng bảo mật có thể được ẩn ở nhiều cấp độ trong ứng dụng của bạn. Trong một số tình huống, một phụ thuộc yêu cầu hàng trăm phụ thuộc khác, điều này khiến việc tìm kiếm trở nên khó khăn hơn.


Quảng cáo

Về cơ bản, trong thế giới Java, bạn có thể có một JAR lồng trong một JAR lồng trong một JAR. Điều này tạo ra rất nhiều lớp mà tất cả đều cần được điều tra. Chỉ nhìn trực tiếp vào các tệp JAR được trích xuất bởi dự án của bạn có thể là không đủ, vì Log4j có thể đang ẩn nội dung của một tệp JAR khác!

Vấn đề với Log4j là gì?

Lỗ hổng của thư viện nhật ký được sử dụng rộng rãi đã biến thành một cuộc khủng hoảng bảo mật hoàn toàn ảnh hưởng đến hệ thống internet kỹ thuật số.

Các tin tặc đã cố gắng lợi dụng nó, nhưng ngay cả khi có bản sửa lỗi, các nhà nghiên cứu cảnh báo rằng lỗ hổng bảo mật này có thể gây ra những hậu quả nghiêm trọng trên toàn thế giới.

Vấn đề nằm ở Log4j, một khuôn khổ ghi nhật ký Apache mã nguồn mở phổ biến được các nhà phát triển sử dụng để lưu giữ hồ sơ hoạt động trong một ứng dụng. Những người phản hồi bảo mật đang cố gắng vá lỗi có thể dễ dàng bị lợi dụng để điều khiển từ xa các hệ thống dễ bị tấn công.

Đồng thời, tin tặc đang tích cực quét internet để tìm các hệ thống bị ảnh hưởng. Những người khác đã phát triển các công cụ tự động để khai thác lỗi, cũng như sâu có thể lây lan độc lập từ hệ thống dễ bị tấn công này sang hệ thống khác trong điều kiện thích hợp.

Ví dụ, Minecraft do Microsoft sở hữu vào thứ Sáu đã đăng hướng dẫn chi tiết về cách người chơi có phiên bản Java của trò chơi nên vá hệ thống của họ. “Việc khai thác này đã ảnh hưởng đến nhiều dịch vụ – bao gồm cả Minecraft Java Edition,” bài đăng viết. “Lỗ hổng này khiến máy tính của bạn có nguy cơ bị xâm nhập”. Giám đốc điều hành Cloudflare Matthew Prince đã tweet vào thứ Sáu rằng vấn đề là “quá nghiêm trọng”, công ty cơ sở hạ tầng internet sẽ cố gắng thực thi một số biện pháp bảo vệ ngay cả đối với khách hàng sử dụng Internet. dịch vụ miễn phí của nó.

Tất cả những gì kẻ tấn công phải làm để tận dụng lỗ hổng là gửi một cách chiến lược một bộ mã độc hại mà cuối cùng sẽ được đăng nhập vào Log4j phiên bản 2.0 hoặc cao hơn. Việc khai thác cho phép những kẻ tấn công tải mã Java tùy ý trên máy chủ, cho phép chúng kiểm soát.

Quét Log4j bằng các công cụ mã nguồn mở

Có hai công cụ nguồn mở do Anchore dẫn đầu có thể quét một số lượng lớn các định dạng phụ thuộc được đóng gói, xác định sự tồn tại của chúng và báo cáo nếu chúng có lỗ hổng bảo mật.

Trong trường hợp này, có thể quét các tệp JAR, đặc biệt là các lớp tệp JAR lồng nhau, là điều chúng tôi muốn. Syft tạo ra một hóa đơn vật liệu phần mềm (SBOM) và Grype là một máy quét lỗ hổng bảo mật. Cả hai công cụ đều có thể quét nhiều loại tệp lưu trữ JAR lồng nhau để khám phá và xác định các cá thể Log4j, Rovapharma.com chia sẻ.

Bạn đang xem bài viết: Log4j là gì? Log4j đang gặp vấn đề gì? tại rovapharma.com


#Log4j #là #gì #Log4j #đang #gặp #vấn #đề #gì

Similar Posts

Trả lời

Email của bạn sẽ không được hiển thị công khai.