Kerentanan ini memberi peretas kemampuan untuk mengirim permintaan yang dimanipulasi ke server web atau aplikasi yang rentan. Agar serangan bekerja, sistem masing-masing hanya perlu menerima string dan mendaftarkan permintaan dengan Log4j. Server kemudian dapat diambil alih sepenuhnya dengan menjalankan kode apa pun.
Kerentanan membahayakan banyak layanan
Masalahnya tidak hanya mempengaruhi layanan yang ditulis dalam Java. Aplikasi web yang telah diimplementasikan menggunakan bahasa pemrograman lain juga dapat terpengaruh, asalkan pustaka dan dependensi Java tertentu digunakan. Menurut daftar pengembang, layanan terkenal seperti Apple iCloud, Steam, Twitter, banyak layanan Amazon, Minecraft, CloudFlare, dan platform Apache juga berisiko.
Karena Log4j adalah pustaka logging yang sangat populer, kerentanan harus ada di sebagian besar proyek Java. Log4j versi 2.0-beta9 hingga 2.14.1 dipengaruhi oleh kerentanan. Untuk menguji apakah proyek mereka sendiri rentan, pengembang dapat pergi ke skrip ini Jatuh kembali.
Kerentanan terdaftar sebagai CVE-2021-44228 dan sejak itu telah diatasi. Pengembang mengerjakan tambalan dan mengintegrasikan kode ke dalam pustaka logging dengan versi 2.15. Jika Anda belum memiliki kemungkinan untuk mengintegrasikan pembaruan ke dalam proyek Anda, Anda harus menonaktifkan sementara fungsi JNDI dari Log4j.
Berita lainnya di Jawa:
“Organizer. Devoted music enthusiast. Pop culture pioneer. Coffee practitioner.”
