Log4j
שגיאת לואה ביחידה יחידה:תבנית_מידע בשורה 261: תבנית תוכנה ריקה. Log4j היא ספריית קוד פתוח מבוססת Java, חלק ממיזמי קרן התוכנה אפאצ'י, המשמשת לניהול קובצי לוג.
גרסה ראשונה של הספרייה פותחה על ידי Ceki Gülcü. בהמשך פותחה גרסה Log4j 2, שאינה תואמת לאחור לגרסה 1. באוגוסט 2015 ניתנה המלצה למשתמשי גרסה 1 לחדול להשתמש בה ולעבור לגרסה 2.[1]
Log4Shell
- ערך מורחב – Log4Shell
ב-9 בדצמבר 2021 פורסם דבר קיומה של פרצת אבטחה חמורה[2] בספרייה, המאפשרת לתוקף מרוחק להריץ קוד על שרת המריץ תוכנה הכוללת ספרייה זו, ללא צורך בהזדהות.[3] הפרצה קיבלה את השם Log4Shell, וזיהויה הוא CVE-2021-44228. תחילה הוזהרו מהפרצה משתמשי המשחק מיינקראפט, שהתבקשו לעדכן את תוכנת המשחק,[4] ובהמשך התברר שתוכנות רבות, בהן אלה של סיסקו, VMWare ונטאפ, חשופות לפרצה זו, המסכנת מיליוני משתמשים בעולם. לסגירת הפרצה פורסמה גרסה 2.15.0 ואחריה גרסה 2.17.0, וכן פורסם מעקף למי שמתקשה במעבר לגרסה המתוקנת.[5]
קישורים חיצוניים
- אתר האינטרנט הרשמי של Apache Log4j 2
- אליה להב, הסבר למתקדמים: מה לעזאזל זו חולשת Log4j שכל האינטרנט מדבר עליה, באתר Geektime, 12 בדצמבר 2021
הערות שוליים
- ^ "Apache Logging Services Project Announces Log4j 1 End-Of-Life; Recommends Upgrade to Log4j 2". blogs.apache.org. 2015-08-05.
- ^ CVSS מקסימלי – 10.0
- ^ יובל מן, חולשת אבטחה חמורה מאיימת על מיליוני אפליקציות ושירותים, באתר ynet, 11 בדצמבר 2021
רן בר-זיק, המקרה של log4j2 ומה שהוא יכול ללמד אותנו | אינטרנט ישראל, באתר internet-israel.com, 2021-12-12 - ^ אושרי אלקסלסי, ”אחת מהפרצות החמורות בשנים האחרונות”: פרצה חמורה התגלתה במיינקראפט, אבל זו רק ההתחלה, באתר Geektime, 11 בדצמבר 2021
- ^ התרעה דחופה: פגיעות חמורה בספריה בשם Log4j מנוצלת בפועל לתקיפות בעולם, באתר מערך הסייבר הלאומי, 11 בדצמבר 2021
32817587Log4j