Log4Shell, අන්තර්ජාල අවදානම්, මෑතකදී මිලියන ගණනක යන්ත්රවලට බලපෑවේය. Log4j, අපැහැදිලි නමුත් සෑම තැනකම පාහේ පවතින මෘදුකාංග කැබැල්ලක් එයට හේතු වේ.
Log4j විවිධ පරිගණක පද්ධතිවල තිරය පිටුපස සිදුවන සියලුම ක්රියා සටහන් කිරීමට භාවිතා කරයි.
එය බොහෝ යෙදුම්වල ව්යාපාර සහ රාජ්ය ආයතන පවා භාවිතා කරන විවෘත මූලාශ්ර ලොග් පුස්තකාලයක් මත පදනම් වේ.
මෙතෙක් අනාවරණය වී නොමැති නරකම සයිබර් ආරක්ෂණ සිදුරුවලින් එකක් වන බැවින්, මෙම අවදානමෙන් ඔබේ පද්ධති ආරක්ෂා කිරීම ඉතා වැදගත් වේ. නමුත්, කෙසේද?
අපි Log4j දුර්වලතා සවිස්තරාත්මකව ගවේෂණය කරමු සහ ඒ සඳහා කළ හැකි විසඳුම් සියල්ල.
Log4j යනු කුමක්ද?
Log4j යනු an විවෘත කේතය මෘදුකාංග සංවර්ධකයින්ට ඔවුන්ගේ යෙදුම් තුළ විවිධ දත්ත වාර්තා කිරීමට හැකියාව ලබා දෙන ලොග් කිරීමේ රාමුව. එය ක්රියාත්මක වන Apache Logging Services ව්යාපෘතියේ අංගයකි Apache මෘදුකාංග පදනම.
වෙබ් අඩවි සහ යෙදුම් සිය ගණනක් Log4j භාවිතා කරන්නේ නිදොස්කරණය සහ වෙනත් භාවිතයන් සඳහා දත්ත ලොග් කිරීම වැනි තීරණාත්මක මෙහෙයුම් සිදු කිරීමට ය.
ඔබ දුර්වල සබැඳි සබැඳියක් ඇතුළත් කළ විට හෝ ක්ලික් කර 404 දෝෂ දැන්වීමක් ලබා ගන්නා විට, මෙය Log4j හි නිතර උදාහරණයකි. ඔබ පිවිසීමට උත්සාහ කළ වෙබ් සබැඳියේ වසම ධාවනය කරන වෙබ් සේවාදායකය එවැනි වෙබ් පිටුවක් නොමැති බව ඔබට දන්වයි. එය සේවාදායකයේ පද්ධති පරිපාලකයින් සඳහා Log4j හි සිදුවීම ලොග් කරයි.
මෘදුකාංග වැඩසටහන් පුරාවටම, සමාන රෝග විනිශ්චය සංඥා භාවිතා වේ. Minecraft ඔන්ලයින් ක්රීඩාවේදී, උදාහරණයක් ලෙස, භාවිතා කරන ලද සම්පූර්ණ RAM සහ කොන්සෝලය වෙත යවන ලද පරිශීලක උපදෙස් වැනි ක්රියාකාරකම් ලොග් කිරීමට සේවාදායකය Log4j භාවිතා කරයි.
අවදානම ඇති වන්නේ කෙසේද?
Lookups යනු Log4j 2.0 හි හඳුන්වා දුන් නව විශේෂාංගයකි, එය ලොග් ඇතුළත් කිරීම් තුළ අමතර තොරතුරු ඇතුළත් කිරීමට උපකාරී වේ. මෙම සෙවීම් වලින් එකක් වන්නේ නාමාවලි සේවාවක් සමඟ සන්නිවේදනය කිරීම සඳහා Java API වන JNDI (Java Naming and Directory Interface) සෙවීමයි.
මෙම ප්රවේශය භාවිතා කරමින්, අභ්යන්තර පරිශීලක හැඳුනුම්පත් සැබෑ පරිශීලක නාම වෙත සිතියම්ගත කළ හැක. මෙම විමසුම අලුතින් සොයාගත් RCE අවදානම හෙලිදරව් කරයි, මන්ද LDAP සේවාදායකය විසින් සපයනු ලබන එක් දත්ත වර්ගයක් ජාවා පන්තියක් වෙත යොමු කරන URI එකක් වන අතර එය මතකයට පටවා Log4j උදාහරණය මඟින් ක්රියාත්මක වේ.
Log4j පුස්තකාලයේ ආදාන වලංගුකරණයේ දුර්වලතාවයක් හේතුවෙන්, විශ්වාස නොකළ මූලාශ්රයකින් අත්තනෝමතික LDAP සේවාදායකයක් එන්නත් කළ හැක. සංවර්ධකයින් උපකල්පනය කරන්නේ ලඝු-සටහන් වෙත යවන දත්ත සරල පෙළ ලෙස හසුරුවනු ඇති නිසා, අමතර ආදාන වලංගු කිරීමක් සිදු නොවන අතර, අනතුරුදායක පරිශීලක ආදානය ලොගවලට ඇතුල් වේ.
ලොග් ප්රකාශයක් මේ වගේ විය හැක:
ද්වේෂසහගත පරිශීලකයෙකු දැන් URL පරාමිතියක හොර LDAP සේවාදායකයක් වෙත යොමු කරමින් JNDI සෙවීමක් ඇතුළත් කරනු ඇත. JNDI සෙවීම පහත පරිදි වනු ඇත:
Log4j පුස්තකාලය Java Factory සහ Java Codebase සඳහා අගයන් ඇතුළුව නාමාවලි තොරතුරු ලබා ගැනීමට attacker.com හි මෙම LDAP සේවාදායකය සමඟ කතා කරයි.
මෙම අගයන් දෙකෙහි ප්රහාරකයාගේ ජාවා පන්තිය ඇතුළත් වේ, එය පසුව මතකයට පටවා Log4j අවස්ථාව මඟින් ක්රියාත්මක කර, කේත ක්රියාත්මක කිරීම සම්පූර්ණ කරයි.
අවදානමට ලක්ව ඇත්තේ කවුද?
Log4j අවදානම ඇදහිය නොහැකි තරම් පුළුල් වන අතර එය ව්යාපාරික යෙදුම්, කාවැද්දූ උපාංග සහ ඒවායේ උප පද්ධති කෙරෙහි බලපායි. බලපෑමට ලක් වූ යෙදුම් අතර Cisco Webex, Minecraft, සහ FileZilla FTP ඇතුළත් වේ.
කෙසේ වෙතත්, මෙය කිසිසේත් සම්පූර්ණ ලැයිස්තුවක් නොවේ. මෙම දෝෂය සිදුවීම් පටිගත කිරීම සඳහා Apache Log2020j භාවිතා කරන Ingenuity Mars 4 චොපර් මෙහෙයුමට පවා බලපායි.
ආරක්ෂක ප්රජාව විසින් සම්පාදනය කර ඇත අවදානමට ලක්විය හැකි පද්ධති ලැයිස්තුව. මෙම ලැයිස්තු අඛණ්ඩව යාවත්කාලීන වන බව සටහන් කිරීම ඉතා වැදගත් වේ, එබැවින් යම් වැඩසටහනක් හෝ පද්ධතියක් විශේෂාංගගත කර නොමැති නම්, එය බලපාන්නේ නැතැයි උපකල්පනය නොකරන්න.
මෙම අවදානමට නිරාවරණය වීම බොහෝ දුරට ඉඩ ඇති අතර, විශේෂිත වුවද තාක්ෂණික සිරස් ජාවා අදාළ නොවේ, ආරක්ෂක විධායකයින් තීරනාත්මක සැපයුම් පද්ධති, SaaS සැපයුම්කරුවන්, වලාකුළු සත්කාරක සපයන්නන් සහ වෙබ් සේවාදායක සපයන්නන් බලාපොරොත්තු විය යුතුය.
Log4j අවදානම පරීක්ෂා කරන්නේ කෙසේද?
පළමු පියවර වන්නේ පහරදීමක් දැනටමත් සිදුවී ඇත්ද යන්න තීරණය කිරීමයි. RCE ගෙවීම් කොටස් සඳහා පද්ධති ලොග් පරීක්ෂා කිරීමෙන් ඔබට එය කළ හැක.
"jndi", "ldap", හෝ "$::" වැනි යෙදුම් සඳහා සෙවීමක් කිසියම් ලඝු-සටහනක් ලබා දෙන්නේ නම්, ආරක්ෂක පර්යේෂකයන් එය නීත්යානුකූල ප්රහාරයක් ද නැතහොත් හුදෙක් ඇඟිලි සලකුණු කිරීමක් ද යන්න තවදුරටත් ගවේෂණය කළ යුතුය.
කිසිදු හානිකර පැටවීමක් ලබා නොදුන් වනයේ බොහෝ පහරදීම් සොයා ගන්නා ලදී. එසේ වුවද, මෙම ප්රහාරයට ගොදුරු විය හැකි යෙදුම් කීයක් තිබේද යන්න තීරණය කිරීමට ආරක්ෂක විශේෂඥයින් විසින් ඒවා සිදු කරන ලදී.
ඊළඟ පියවර වන්නේ සියලුම ව්යාපෘති හඳුනා ගැනීමට Log4j පුස්තකාලය භාවිතා කිරීමයි. 2.0-beta9 සහ 2.14.1 අතර අනුවාද භාවිතා කරන්නේ නම්, ව්යාපෘතියට ගොදුරු විය හැක.
මෙම අවදානම පවතින්නේ කොතැනද යන්න තීරණය කිරීමේ දුෂ්කරතාවය සැලකිල්ලට ගෙන, ව්යාපෘතියට ගොදුරු විය හැකි යැයි උපකල්පනය කිරීම වඩාත් සුදුසු වන අතර පුස්තකාලය යාවත්කාලීන කිරීම කේත ක්රියාත්මක කිරීමේ අනතුර ඉවත් කිරීමට හොඳම ක්රියාමාර්ගය වේ.
භාවිත කළ අනුවාදය 2.0-beta 9 ට වඩා අඩු නම් ව්යාපෘතිය අවදානමට ලක් නොවේ, නමුත් 4.x පරාසයේ අනුවාද පැරණි වන අතර තවදුරටත් යාවත්කාලීන නොලැබෙන බැවින් Log1j පුස්තකාලය තවමත් උත්ශ්රේණි කළ යුතුය.
අවදානමට ලක්විය හැකි ව්යාපෘතියක් අනාවරණය කර ගත්තේද, Log4j භාවිතයෙන් ලොග් වී ඇති කිසියම් තොරතුරක් පරිශීලකයාට වෙනස් කළ හැකි තොරතුරු අඩංගු වේද යන්න පරීක්ෂා කිරීමට උපදෙස් දෙනු ලැබේ. URL, ඉල්ලීම් පරාමිති, ශීර්ෂ, සහ කුකීස් මෙම දත්ත සඳහා උදාහරණ වේ. මෙයින් එකක් ලොග් වුවහොත් ව්යාපෘතිය අනතුරේ.
මෙම දැනුම ඔබට පද්ධති ලොගයන් තව දුරටත් සොයා බැලීමට සහ ඔබගේ වෙබ් යෙදුමට දැනටමත් ප්රහාරයක් එල්ල වී තිබේද යන්න තීරණය කිරීමට ඔබට උපකාර කළ හැක.
වෙබ් යෙදුමක් අවදානමට ලක්විය හැකිදැයි හඳුනා ගත හැකි නොමිලේ මාර්ගගත මෙවලම් තිබේ. මෙම වැඩසටහන් වලින් එකකි Log4Shell දඩයම්කාරිය. එය විවෘත මූලාශ්ර සහ ලබා ගත හැකිය GitHub.
සබැඳි යෙදුමේ අවදානමට ලක්විය හැකි කේත ප්රදේශයක් අනාවරණය වුවහොත්, එය වෙබ් යෙදුමට එන්නත් කිරීමට හෙළිදරව් කරන ලද මෙවලම මඟින් සපයන ලද ගෙවීම භාවිතා කළ හැක. අවදානම් ප්රයෝජනයට ගත්තේ නම්, පරීක්ෂණ මෙවලම ඔබේ වෙබ් යෙදුම සහ ඔවුන්ගේ LDAP සේවාදායකය අතර ඇති සම්බන්ධතා හෙළි කරයි.
Log4j අවදානම නිවැරදි කිරීමට විසඳුම්
පළමු පියවර වන්නේ Log4j යාවත්කාලීන කිරීමයි, එය ඔබට සාමාන්ය පැකේජ කළමනාකරුවන් භාවිතා කිරීමෙන් හෝ මෙය සෘජුවම බාගත කිරීමෙන් කළ හැකිය. පිටුව.
පරිසර විචල්ය FORMAT MSG NO LOOKUPS සත්ය ලෙස සැකසීමෙන් අවදානම් සූරාකෑමේ හැකියාව අඩු කිරීමට ද හැකිය. කෙසේ වෙතත්, මෙම ප්රතිමින අදාළ වන්නේ 4 ට වඩා වැඩි හෝ ඊට සමාන Log2.10j අනුවාද සඳහා පමණි.
දැන් අපි විකල්ප විකල්ප සලකා බලමු.
1. Log4j අනුවාදය 2.17.0 සඳහා විසඳුම්
Log4Shell වලින් ආරක්ෂා වීම සඳහා Log2.15.0j අනුවාදය 4 භාවිතා කිරීමට දැඩි ලෙස උපදෙස් දෙනු ලැබේ, කෙසේ වෙතත්, මෙය කළ නොහැකි නම්, වෙනත් විසඳුම් තිබේ.
Log2.7.0j හි 4 සහ පසු අනුවාද: පරිශීලකයා විසින් සපයනු ලබන දත්ත සඳහා සියයට m nolookups වාක්ය ඛණ්ඩය භාවිතයෙන් ලොග් විය යුතු සිදුවීම්වල ආකෘතිය වෙනස් කිරීමෙන් ඕනෑම ප්රහාරයකින් ආරක්ෂා වීමට ශක්ය වේ. මෙම යාවත්කාලීන කිරීම සඳහා වැඩසටහනේ නව අනුවාදයක් උත්පාදනය කිරීම සඳහා Log4j වින්යාස ගොනුව සංස්කරණය කිරීම අවශ්ය වේ. ප්රතිඵලයක් වශයෙන්, මෙම නව අනුවාදය යෙදවීමට පෙර, තාක්ෂණික සහ ක්රියාකාරී වලංගු කිරීමේ අදියර නැවත නැවතත් කළ යුතුය.
Log4j අනුවාද 2.10.0 සහ පසු: log4j2.formatMsgNoLookups වින්යාස පරාමිතිය සත්ය ලෙස සැකසීමෙන් ඕනෑම ප්රහාරයකින් ආරක්ෂා වීමට ද හැකිය, උදාහරණයක් ලෙස, -Dlog4j2 විකල්පය සමඟ ජාවා අථත්ය යන්ත්රය ආරම්භ කිරීමේදී. formatMsgNoLookups = true, තවත් විකල්පයක් වන්නේ පන්තිමාර්ග තර්කයෙන් JndiLookup පන්තිය ඉවත් කිරීමයි, එය ප්රධාන ප්රහාරක දෛශිකය ඉවත් කරයි (පර්යේෂකයන් වෙනත් ප්රහාරක දෛශිකයක හැකියාව බැහැර නොකරයි).
Amazon Web Services "ඔබේ අවදානමෙන් භාවිතා කළ යුතු" hotpatch එකක් සපයයි. Logout4Shell වැනි "මෙම අවදානම තමාටම එරෙහිව භාවිතා කරන" වෙනත් "තාක්ෂණ" ප්රකාශයට පත් කර ඇත. ආරක්ෂක විශේෂඥයා මෙම පියවරේ නීත්යානුකූලභාවය ප්රශ්න කරයි, එයට “එය නිවැරදි කිරීම සඳහා යන්ත්රයක් හැක් කිරීම” ඇතුළත් වේ.
2. ගැටළුව Log4j v2.17.0 හි විසඳා ඇත.
2.10 ට වැඩි අනුවාද සඳහා: Log4j2.formatMsgNoLookups සත්ය ලෙස සැකසිය යුතුය.
2.0 සිට 2.10.0 දක්වා අනුවාද සඳහා: Log4j වෙතින් LDAP පන්තිය ඉවත් කිරීමට පහත විධානය ක්රියාත්මක කරන්න.
Log4j2.formatMsgNoLookup පද්ධති සැකසීම් තුළ සත්ය ලෙස සැකසිය යුතුය.
JVM හි අවම කිරීම
JVM පරාමිතීන් සමඟ අවම කිරීම තවදුරටත් විකල්පයක් නොවේ. අනෙකුත් අවම කිරීමේ ක්රම දිගටම සාර්ථක වේ. හැකි නම් Log4j අනුවාදය 2.17.0 වෙත උත්ශ්රේණි කරන්න. Log4j v1 සඳහා සංක්රමණ මාර්ගෝපදේශයක් තිබේ.
යාවත්කාලීන කළ නොහැකි නම්, සේවාලාභියා පැත්තේ සහ සේවාදායක පාර්ශ්වයේ සංරචක -Dlog4j2.formatMsgNoLookups = සත්ය පද්ධති දේපල කට්ටලය ඇති බවට වග බලා ගන්න.
Log4j v1 එහි ජීවිතයේ අවසානයට (EOL) පැමිණ ඇති අතර තවදුරටත් දෝෂ නිවැරදි කිරීම් නොලැබෙන බව කරුණාවෙන් සලකන්න. අනෙකුත් RCE දෛශික ද Log4j v1 ට ගොදුරු වේ. එබැවින්, හැකි ඉක්මනින් Log4j 2.17.0 වෙත උත්ශ්රේණි කරන ලෙස අපි ඉල්ලා සිටිමු.
3. අවම කිරීමේ පියවර
ධාරක යන්ත්රය 4u6, 212u7, 202u8, හෝ 192 ට වඩා ඉහළ ජාවා අනුවාදයක් ක්රියාත්මක කරන්නේ නම්, සමහර අවස්ථා වලදී Log11.0.2j ගොදුරු විය හැකි වුවද වත්මන් සූරාකෑම් ක්රියා කළ නොහැක.
මෙයට හේතුව ප්රහාරය ක්රියාත්මක වීමට අවශ්ය වන වත්මන් අනුවාද වල වඩා හොඳ Java Naming සහ Directory Interface (JNDI) දුරස්ථ පන්ති පැටවීමේ ආරක්ෂාවයි.
තවද, 4 ට වඩා විශාල Log2.10j අනුවාද සමඟින්, JVM තර්කය -Dlog4j2.formatMsgNoLookups = true ලබා දීමෙන් හෝ පන්ති මාර්ගයෙන් JndiLookup පන්තිය මකා දැමීමෙන්, ආකෘතියMsgNoLookups පද්ධති අගය සත්ය ලෙස සැකසීමෙන් ගැටළුව මඟ හැරිය හැක.
මේ අතරතුර, අවදානමට ලක්විය හැකි අවස්ථා නිරාකරණය කරන තුරු, පහත තාක්ෂණික ක්රම භාවිතා කරමින් අවදානම් තත්ත්වය ආමන්ත්රණය කළ හැක:
- පද්ධති දේපල log4j2.formatMsgNoLookups >=2.10 සඳහා සත්ය ලෙස සකසන්න.
- පරිසර විකල්පය LOG4J FORMAT MSG NO LOOKUPS >=2.10 සඳහා සත්ය ලෙස සකසන්න.
- 2.0-beta9 සිට 2.10.0 දක්වා පන්ති මාර්ගයෙන් JndiLookup.class ඉවත් කරන්න: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
එක් නිර්දේශිත හොඳම භාවිතයක් වන්නේ අන්තර්ජාලයට පිටවන ගමනාගමනය සුදුසු වරායන් වෙත පමණක් සීමා කිරීමයි.
ක්ෂේත්රයේ බොහෝ ප්රහාර HTTP හරහා ලබා දුන්නද, Log4j භාවිතයෙන් පරිශීලක ආදාන දත්ත ලොග් කරන ඕනෑම ප්රොටෝකෝලයක් හරහා අවදානම ප්රයෝජනයට ගත හැකිය.
කෙසේ වෙතත්, log4j 2.17.0 වෙත යාවත්කාලීන කිරීම හොඳම පිළියම වන්නේ යමෙකුට ගැටලුවට අමතර ප්රවේශයක් සොයාගත හැකි බැවිනි. තවද, බොහෝ ප්රකාශකයින් සහ නිෂ්පාදකයින් ඔවුන්ගේ සේවාවන් හෝ යෙදුම්වල වැඩිදියුණු කිරීම් නිවේදනය කර ඇත.
4. Log4Shell අවදානම් පැච්
Log4j සර්වසම්පූර්ණයි, විශේෂයෙන් දැන් අවදානම සූරාකෑමට ලක්වෙමින් පවතී. සාරාංශ කිරීමට, ඔබ කළ යුත්තේ Log4j විසින් පරීක්ෂා කරන ලද ලඝු-සටහන් වල පහත අක්ෂර ඇතුළත් කිරීමයි.
තවද මෙය URL එක අවසානයේ ඇති ජාවා ගොනුව බාගත කර ක්රියාත්මක කරයි. එය නාටකාකාර ලෙස සරල ය.
ඔබ දන්නා පරිදි, මෙම Log4Shell අවදානමට (CVE-2.17.0-4) පිළියම් යෙදීම සඳහා log2021j අනුවාදය >= 44228 වෙත උත්ශ්රේණි කිරීම ඉතා වැදගත් වේ.
මෙය කළ නොහැකි නම්:
Log4j පුස්තකාල අනුවාද 2.10.0 සහ පසුව භාවිතා කරන යෙදුම් සඳහා, වින්යාස පරාමිතිය log4j2.formatMsgNoLookups සත්ය ලෙස සැකසීමෙන් ඕනෑම ප්රහාරයකින් ආරක්ෂා විය හැක, උදාහරණයක් ලෙස, -Dlog4j2.formatMsgNoLookups = true සමඟ ජාවා අථත්ය යන්ත්රය ආරම්භ කරන අතරතුර. විකල්පය.
තවත් විකල්පයක් වන්නේ පන්තිමාර්ග තර්කයෙන් JndiLookup පන්තිය මකා දැමීමයි, එය ප්රාථමික ප්රහාරක දෛශිකය ඉවත් කරනු ඇත (පර්යේෂකයන් වෙනත් ප්රහාරක දෛශිකයක පැවැත්ම බැහැර නොකරයි).
සටහන
අවදානමට ලක්විය හැකි පද්ධතිවලට ගැලපීම් කිරීමට පසුබට වන හෝ අකමැති (හෝ අමතර ආරක්ෂණ ස්ථාපනය කිරීමට කැමති) සංවිධාන මේ ගැන සිතා බැලිය යුතුය:
- සියලුම ගමනාගමනය iSensor/ හරහා ගමන් කරන බවට වග බලා ගන්නඩබ්ලිව්/IPS. මෙය පද්ධතියට ප්රවේශ වීම වළක්වා ගත හැක.
- අවදානම් පද්ධතියට ළඟා විය හැකි ගමනාගමන ප්රමාණය සීමා කිරීම පද්ධතිය අන්තර්ජාලයට සම්බන්ධ කිරීමට අවශ්ය නැතිනම්, අත්යවශ්ය සහ විශ්වාසදායක IPS සහ පරාසයන් වෙත ප්රවේශය සීමා කරන්න.
- ධාරකයේ අවසර ලත් පිටතට යන ගමනාගමනය අඩු කිරීම. මෙම ප්රහාරය ක්රියාත්මක වන්නේ තක්කඩි සේවාදායකයකට සම්බන්ධ වීමෙන් නිසා, සියලුම අතිරික්ත IP ලිපින සහ වරායන් ෆයර්වෝලයක් මත අවහිර කළ යුතුය.
- සේවාව තවදුරටත් අවශ්ය නොවේ නම්, නිවැරදි කිරීමක් සූදානම් වන තෙක් එය අක්රිය කළ යුතුය.
නිගමනය
Log4j දෝෂ අපගේ ප්රජාව කම්පනයට පත් කළ අතර අපි විවෘත මූලාශ්ර මෘදුකාංග මත රඳා සිටින්නේ කෙසේද යන්න අපට මතක් කර දුන්නේය.
Log4j අද්විතීයයි. එය මෙහෙයුම් පද්ධතියක් හෝ බ්රවුසරයක් හෝ මෘදුකාංගයක් නොවේ. ඒ වෙනුවට, ක්රමලේඛකයින් පුස්තකාලයක්, පැකේජයක් හෝ කේත මොඩියුලයක් ලෙස හඳුන්වන්නේ එයයි. එය එක් අරමුණක් පමණක් ඉටු කරයි, එනම්, සේවාදායකයක සිදුවන දේ පිළිබඳ වාර්තාවක් තබා ගැනීමයි.
කේත ලියන අය තම මෘදුකාංගය කැපී පෙනෙන දේ කෙරෙහි අවධානය යොමු කිරීමට කැමැත්තක් දක්වයි. රෝදය ප්රතිනිර්මාණය කිරීමට ඔවුන් උනන්දු නොවේ. එහි ප්රතිඵලයක් වශයෙන්, ඔවුන් Log4j වැනි පවතින කේත පුස්තකාල රාශියක් මත රඳා පවතී.
Log4j මොඩියුලය ව්යුත්පන්න වී ඇත්තේ Apache, බහුලව භාවිතා වන වෙබ් සේවාදායක මෘදුකාංගයෙනි. මිලියන ගණනක් සේවාදායකයන් මත එය සොයා ගත හැක්කේ එබැවිනි. එබැවින් ආරක්ෂක තර්ජන වැඩි වේ.
ඉහත විසඳුම් ඔබගේ උපාංග ආරක්ෂිතව තබා ගැනීමට උපකාරී වනු ඇතැයි මම බලාපොරොත්තු වෙමි.
තාක්ෂණික ලෝකයෙන් වඩාත් ප්රයෝජනවත් තොරතුරු සඳහා HashDork වෙත රැඳී සිටින්න.
ඔබමයි