ភាពងាយរងគ្រោះធ្ងន់ធ្ងរបំផុតនៅក្នុង Log4j របស់ Apache
Apache Software Foundation បានធ្វើការចេញផ្សាយការជួសជុសទៅលើភាពងាយរងគ្រោះយ៉ាងសកម្មមួយ (zero-day vulnerability) ដែលបានប៉ៈពាល់ទៅលើ Apache Log4j Java-based logging library ដែលអាចត្រូវបានវាយលុកហើយដំណើរការកូដមេរោគ រួចធ្វើការគ្រប់គ្រងទាំងស្រុងទៅលើប្រព័ន្ធរងគ្រោះតែម្តង។
ដោយមានលេខកូដ CVE-2021-44228 ត្រូវបានប៉ៈពាល់ទៅលើ Log4j 2.0-beta9 រហូតដល់កំណែ 2.14.1។ កំហុសឆ្គងនេះត្រូវបានគេដាក់ពិន្ទុ ១០/១០ នៅក្នុងប្រព័ន្ធវាយតម្លៃ CVSS ដែលបញ្ជក់អំពីកម្រិតធ្ងន់ធ្ងរនៃបញ្ហា។
Log4j ត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយនៅក្នុងសុសវែរពេញនិយមជាច្រើនដែលត្រូវបានប្រើប្រាស់ដោយ Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter និង Minecraft ជាដើម។
ភាពងាយរងគ្រោះ Apache Log4j zero-day នេះគឺប្រហែលជាចំនុចខ្សោយធ្ងន់ធ្ងរបំផុតខ្លាំងជាងគេដែលយើងបានឃើញនៅក្នុងឆ្នាំនេះ។ មានក្រុមហ៊ុនសន្តិសុខសាយប័រជាច្រើន ដូចជា BitDefender, Cisco Talos, Huntress Labs, និង Sonatype បានបញ្ជាក់យ៉ាងច្បាស់នូវភស្តុតាងនៃការស្កេនដ៏ធំសំបើម ក្នុងគោលបំណងស្វែងរកនូវម៉ាស៊ីនមេដែលមានភាពងាយរងគ្រោះនេះ បន្ទាប់ពីមានការដាក់ជាសាធារណៈនូវឯកសារបង្ហាញពីវិធីសាស្ត្រនៃការវាយលុក (proof-of-concept)។
Log4J នេះត្រូវបានប្រើប្រាស់ជាញឹកញាប់នៅក្នុង enterprise java software និងត្រូវបានបញ្ចូលទៅក្នុង Apache framework រួមមាន៖ Apache Struts2, Apache Solr, Apache Druid, Apache Flink, Apache Swift, Netty, Mybatis និង. Spring Framework ។
សូមអភិបាលគ្រប់គ្រងប្រព័ន្ធធ្វើការអាប់ដេតជាបន្ទាន់តាមតែអាចធ្វើទៅបាន ដែលជំនាន់ចុងក្រោយបង្អស់គឺ Log4j V.2.15៕
Cover Photo: Help Net Security