Log4j là gì, vấn đề Log4j là gì, beipharmacy.com chia sẻ về log4j, hãy đọc ngay để tìm hiểu nhé!

Log4j là gì?

Log4j là một thư viện được sử dụng bởi hầu hết các ứng dụng Java. ipi4j là một trong những thư viện Java phổ biến nhất cho đến nay. Hầu hết các ứng dụng Java đều ghi nhật ký và không có gì làm cho việc này dễ dàng hơn Log4j.


beipharmacy.com

Log4j là một thư viện Java vàTuy nhiên, ngay cả khi ngôn ngữ lập trình ngày nay không phổ biến lắm với người tiêu dùng, nó vẫn được sử dụng rộng rãi trong các doanh nghiệp và các ứng dụng trực tuyến.

Vấn đề ở đây là xem xét Log4j vì cách thức hoạt động của tính năng đóng gói Java. Có thể bạn có một Log4j ẩn ở đâu đó trong ứng dụng của mình và bạn thậm chí không biết nó.

Trong hệ sinh thái Java, các phần phụ thuộc được phân phối dưới dạng các kho lưu trữ Java (JAR), là các gói có thể được sử dụng như các thư viện Java. Các công cụ thường được sử dụng, chẳng hạn như Maven và Gradle, có thể thêm tệp JAR khi bạn xây dựng ứng dụng Java của mình.

JAR cũng có thể chứa một JAR khác để đạt được sự phụ thuộc, có nghĩa là lỗ hổng bảo mật có thể được ẩn cho nhiều cấp độ trong ứng dụng của bạn. Đôi khi, một ủy thác duy nhất bao gồm hàng trăm phụ thuộc khác gây khó khăn cho việc tìm kiếm.


beipharmacy.com

Về cơ bản, trong thế giới Java, bạn có thể có một JAR bên trong một JAR bên trong một JAR. Điều này tạo ra một số lớp mà tất cả đều cần được khám phá. Chỉ nhìn trực tiếp vào các tệp JAR mà dự án của bạn đang kéo vào có thể là không đủ, vì Log4j có thể bị ẩn bên trong một tệp JAR khác!

Có gì sai với Log4j?

Mối đe dọa trong thư viện ghi nhật ký được sử dụng rộng rãi nhất đã trở thành một vi phạm bảo mật lớn liên quan đến các hệ thống kỹ thuật số trên internet.

Obera đã cố gắng sử dụng nó, nhưng ngay cả khi những thay đổi xuất hiện, các nhà nghiên cứu cảnh báo rằng mối đe dọa có thể gây ra hậu quả nghiêm trọng trên toàn thế giới.

Vấn đề nằm ở Log4j, một hệ thống ghi nhật ký Apache mã nguồn mở phổ biến mà các nhà phát triển sử dụng để theo dõi những gì đang diễn ra trong ứng dụng. Những người phản hồi bảo mật đang cố gắng xác định lỗi, lỗi này có thể dễ dàng được sử dụng để sửa các hệ thống bị xâm phạm.

Đồng thời, tin tặc chủ động quét internet để tìm các hệ thống bị ảnh hưởng. Một số đã phát triển các chất chống vi trùng, cũng như các loại giun có thể tự lây lan từ hệ thống không an toàn này sang hệ thống khác trong điều kiện thích hợp.

Ví dụ: Minecraft do Microsoft sở hữu vào thứ Sáu tuần trước đã viết hướng dẫn chi tiết về cách người chơi có phiên bản Java của trò chơi nên tích hợp hệ thống của họ. “Thực hiện điều này liên quan đến một số nhiệm vụ – bao gồm cả Minecraft Java Edition,” bài đăng nói. “Sự không an toàn này khiến máy tính của bạn có nguy cơ bị xâm nhập.” Giám đốc điều hành Cloudflare Matthew Prince đã viết hôm thứ Sáu rằng vấn đề là một công ty vũ khí trực tuyến “rất nghiêm trọng” sẽ cố gắng thiết lập bảo mật ngay cả đối với khách hàng trực tuyến.

Tất cả những gì kẻ tấn công phải làm để tận dụng mối đe dọa là gửi một cách thông minh một loạt mã độc hại mà cuối cùng sẽ được tải với Log4j phiên bản 2.0 hoặc cao hơn. Ứng dụng cho phép những kẻ tấn công tải xuống các mã Java trên máy chủ, trao quyền cho chúng.

Tải xuống Log4j bằng các công cụ mã nguồn mở

Có hai công cụ nguồn mở do Anchore dẫn dắt có thể phân tích số lượng biến phụ thuộc trong các gói, phát hiện sự hiện diện của chúng và báo cáo nếu chúng có vấn đề về bảo mật.

Trong trường hợp này, khả năng phân tích cú pháp tệp JAR, cụ thể là các lớp tệp JAR, là những gì chúng tôi muốn. Syft tạo ra một gói phần mềm (SBOM) và Grype là một máy quét lỗ hổng bảo mật. Cả hai công cụ đều có thể quét nhiều kho lưu trữ JAR để tìm và phát hiện các sự kiện Log4j, beipharmacy.com.


#Log4j #là #gì #Log4j #đang #gặp #vấn #đề #gì

Similar Posts

Leave a Reply

Your email address will not be published.