שנסו מותניים: יצא עדכון שני (נוסף) לספריית Log4j
סיימתם לעדכן ל2.15? עכשיו תחזרו על התהליך בשביל 2.16. ושאלה לסיום: את שני העדכונים אפשר להחזיר אחורה עם הרשאות מתאימות. האם זה מהווה סיכון עתידי על הארגון? שאלה פתוחה
עמי רוחקס דומבה
| 15/12/2021
bigstock
בשבוע האחרון מאז התגלתה חולשה בספריית Log4j צוותי אבטחת מידע בארגונים גדולים עובדים סביב השעון במטרה לעדכן מאות או אלפי שרתים. אחרי שסיימו לעדכן את כל הרשת לגרסה 2.15 של הספרייה, הפתעה - ישנה גרסה נוספת. 2.16. המשמעות? לחזור על אותו תהליך עדכון שוב. בשאיפה שהפעם זו תהיה פעם אחרונה.
מה עושים העדכונים? ובכן, על פי apache, שני העדכונים ״מכבים״ באופן מעשי את הפונקציות הבעייתיות בספרייה. עדכון 2.15 מכבה את האפשרות לעשות חיפוש (lookups). עדכון 2.16 מכבה את ה-JDNI.
Java Naming and Directory Interface או JNDI הוא ממשק תכנות יישומים (API) המספק שמות ופונקציונליות ספרייה ליישומים שנכתבו בשפת התכנות Java. כדי להפעיל את העדכון, תצטרכו גרסה Java 8 לפחות. גרסת 7 אינה נתמכת על ידי צוות הפיתוח של Log4j.
כאשר אני כותב שהעדכונים ״מכבים״ את הפונקציות בספרייה, הכוונה, לפי צוות הפיתוח של הספרייה, היא שפונקציות אלו יכובו כברירת מחדל. כלומר, בהרשאות מתאימות, ניתן להפעיל אותן מחדש. עולה שאלה, האם האפשרות, התיאורטית, בהפעלתן מחדש, יכולה להוות סיכון פוטנציאלי עתידי לארגון?
סיימתם לעדכן ל2.15? עכשיו תחזרו על התהליך בשביל 2.16. ושאלה לסיום: את שני העדכונים אפשר להחזיר אחורה עם הרשאות מתאימות. האם זה מהווה סיכון עתידי על הארגון? שאלה פתוחה
bigstock
בשבוע האחרון מאז התגלתה חולשה בספריית Log4j צוותי אבטחת מידע בארגונים גדולים עובדים סביב השעון במטרה לעדכן מאות או אלפי שרתים. אחרי שסיימו לעדכן את כל הרשת לגרסה 2.15 של הספרייה, הפתעה - ישנה גרסה נוספת. 2.16. המשמעות? לחזור על אותו תהליך עדכון שוב. בשאיפה שהפעם זו תהיה פעם אחרונה.
מה עושים העדכונים? ובכן, על פי apache, שני העדכונים ״מכבים״ באופן מעשי את הפונקציות הבעייתיות בספרייה. עדכון 2.15 מכבה את האפשרות לעשות חיפוש (lookups). עדכון 2.16 מכבה את ה-JDNI.
Java Naming and Directory Interface או JNDI הוא ממשק תכנות יישומים (API) המספק שמות ופונקציונליות ספרייה ליישומים שנכתבו בשפת התכנות Java. כדי להפעיל את העדכון, תצטרכו גרסה Java 8 לפחות. גרסת 7 אינה נתמכת על ידי צוות הפיתוח של Log4j.
כאשר אני כותב שהעדכונים ״מכבים״ את הפונקציות בספרייה, הכוונה, לפי צוות הפיתוח של הספרייה, היא שפונקציות אלו יכובו כברירת מחדל. כלומר, בהרשאות מתאימות, ניתן להפעיל אותן מחדש. עולה שאלה, האם האפשרות, התיאורטית, בהפעלתן מחדש, יכולה להוות סיכון פוטנציאלי עתידי לארגון?
