Log4j
מפתח | קרן התוכנה אפאצ'י, Ceki Gülcü |
---|---|
גרסה אחרונה | 2.24.2 (21 בנובמבר 2024) |
מערכת הפעלה | חוצה-פלטפורמות |
נכתבה בשפות | Java |
סוג רישיון | אפאצ'י 2.0 |
קוד מקור | https://github.com/apache/logging-log4j2 |
אתר רשמי | |
Log4j היא ספריית קוד פתוח מבוססת Java, חלק ממיזמי קרן התוכנה אפאצ'י, המשמשת לניהול קובצי לוג.
גרסה ראשונה של הספרייה פותחה על ידי Ceki Gülcü. בהמשך פותחה גרסה Log4j 2, שאינה תואמת לאחור לגרסה 1. באוגוסט 2015 ניתנה המלצה למשתמשי גרסה 1 לחדול להשתמש בה ולעבור לגרסה 2.[1] Gülcü יצר מאז את SLF4J, Reload4j ו-Logback כמו חלופות ל-Log4j.
Log4Shell
[עריכת קוד מקור | עריכה]- ערך מורחב – Log4Shell
ב-9 בדצמבר 2021 פורסם דבר קיומה של פרצת אבטחה חמורה[2] בספרייה, המאפשרת לתוקף מרוחק להריץ קוד על שרת המריץ תוכנה הכוללת ספרייה זו, ללא צורך בהזדהות.[3] הפרצה קיבלה את השם Log4Shell, וזיהויה הוא CVE-2021-44228. תחילה הוזהרו מהפרצה משתמשי המשחק מיינקראפט, שהתבקשו לעדכן את תוכנת המשחק,[4] ובהמשך התברר שתוכנות רבות, בהן אלה של סיסקו, VMWare ונטאפ, חשופות לפרצה זו, המסכנת מיליוני משתמשים בעולם. לסגירת הפרצה פורסמה גרסה 2.15.0 ואחריה גרסה 2.17.0, וכן פורסם מעקף למי שמתקשה במעבר לגרסה המתוקנת.[5]
קישורים חיצוניים
[עריכת קוד מקור | עריכה]- אתר האינטרנט הרשמי של Apache Log4j 2
- אליה להב, הסבר למתקדמים: מה לעזאזל זו חולשת Log4j שכל האינטרנט מדבר עליה, באתר Geektime, 12 בדצמבר 2021
הערות שוליים
[עריכת קוד מקור | עריכה]- ^ "Apache Logging Services Project Announces Log4j 1 End-Of-Life; Recommends Upgrade to Log4j 2". blogs.apache.org. 2015-08-05.
- ^ CVSS מקסימלי – 10.0
- ^ יובל מן, חולשת אבטחה חמורה מאיימת על מיליוני אפליקציות ושירותים, באתר ynet, 11 בדצמבר 2021
רן בר-זיק, המקרה של log4j2 ומה שהוא יכול ללמד אותנו | אינטרנט ישראל, באתר internet-israel.com, 2021-12-12 - ^ אושרי אלקסלסי, ”אחת מהפרצות החמורות בשנים האחרונות”: פרצה חמורה התגלתה במיינקראפט, אבל זו רק ההתחלה, באתר Geektime, 11 בדצמבר 2021
- ^ התרעה דחופה: פגיעות חמורה בספריה בשם Log4j מנוצלת בפועל לתקיפות בעולם, באתר מערך הסייבר הלאומי, 11 בדצמבר 2021