Di salah satu perangkat lunak logging yang paling sering digunakan yang disebut Log4j, lubang keamanan besar telah ditemukan dan telah menjadi mimpi buruk bagi perusahaan dan pemrogram.
Pustaka Log4j adalah pustaka yang ditulis dalam Java, digunakan dalam perangkat lunak yang ditulis dalam bahasa ini, dan digunakan untuk mencatat atau merekam berbagai peristiwa dalam perangkat lunak ini. Penggunaan perpustakaan ini sangat luas dan lubang keamanan barunya telah melibatkan jutaan perangkat lunak perusahaan besar dan kecil, dari server cloud Apple hingga layanan cloud hingga game Microsoft Minecraft hingga helikopter NASA di Mars!
Lubang keamanan besar ini (CVE-2021-44228 (https://www.randori.com/blog/cve-2021-44228/)), yang awalnya digunakan oleh pengguna Minecraft, adalah lubang eksekusi kode. control (RCE) yang memungkinkan penyerang mengeksekusi kode berbahaya dan pada akhirnya mengendalikan sepenuhnya perangkat yang menggunakan library ini.
Jenis lubang keamanan ini, bersama dengan meluasnya penggunaan perpustakaan ini dan kemudahan penggunaannya, membuat lubang keamanan ini sangat berbahaya dan menjadikannya alat yang baik untuk peretas. Akibatnya, penyerang dengan cepat memindai Internet untuk layanan yang mereka gunakan untuk mengeksploitasi celah ini.
Masalah besar lainnya adalah bahwa meskipun Anda tidak menggunakan bahasa Java dan menulis program Anda dalam bahasa lain, Anda dapat menggunakan perangkat lunak Java dalam layanan Anda, dan akibatnya, lubang keamanan ini mengancam layanan Anda. Misalnya, jika Anda menggunakan Elasticsearch untuk mencari atau perangkat lunak Apache Foundation lainnya, aplikasi ini ditulis dalam Java dan mungkin menggunakan pustaka ini dan mungkin rentan terhadap lubang keamanan ini yang membahayakan seluruh layanan Anda. .
Lubang keamanan ini sangat berbahaya dan buruk sehingga Cloudflier, penyedia layanan infrastruktur Internet seperti CDN dan firewall, mengatakan sedang mencoba memblokir permintaan yang mencoba mengeksploitasi lubang untuk semua pelanggannya, bahkan pelanggan gratis.
Versi 2.0 hingga 2.14.1 dari perpustakaan ini rentan terhadap lubang keamanan ini, dan Apache Foundation, yang bertanggung jawab atas perpustakaan ini, telah merilis versi baru, 2.15, untuk memperbaiki lubang keamanan ini. Sebaiknya Anda segera memeriksa layanan Anda dan buka Pembaruan versi baru ini.