آپاچی لاگ۴جی ( به انگلیسی: Log4j ) یک ابزار لاگ مبتنی بر جاوا است که در اصل توسط چکی گلچو نوشته شده است و بخشی از پروژه Apache Logging Services بنیاد نرم افزار آپاچی است. Log4j یکی از چندین چارچوب لاگ جاوا است.
گلچو از آن زمان پروژه های SLF4J و Logback[ ۳] را با هدف ارائه جانشینی برای Log4j آغاز کرده است.
در ۵ آگوست ۲۰۱۵، کمیته مدیریت پروژه Apache Logging Services اعلام کرد[ ۴] که Log4j 1 به پایان عمر خود رسیده است و به کاربران Log4j 1 توصیه می شود که به آپاچی Log4j 2 ارتقاء دهند.
یک آسیب پذیری روز صفر اجرای کد از راه دور در Log4j 2، به نام Log4Shell ( CVE - 2021 - 44228 ) ، در ۹ دسامبر ۲۰۲۱ ظاهر شد. سرویس های تحت تأثیر عبارتند از کلودفلر، آی کلاد، ماینکرفت، استیم، تنسنت کیوکیو و توئیتر. [ ۵] [ ۶] [ ۷] ویژگی ایجاد کننده این آسیب پذیری را می توان با تنظیمات پیکربندی غیرفعال کرد که به طور پیش فرض در نسخه ۲٫۱۵٫۰ که چند روز قبل به طور رسمی منتشر شد غیرفعال شده است. [ ۸] بنیاد نرم افزار آپاچی حداکثر درجه آسیب پذیری ۱۰ را به Log4Shell اختصاص داده است. [ ۷]
این آسیب پذیری به راحتی قابل بهره برداری است و مهاجمان را قادر می سازد تا کنترل کامل سرورهای آسیب دیده را به دست آورند. این آسیب پذیری که به عنوان CVE - 2021 - 44228 ردیابی می شود امکان اجرای کد از راه دور غیرقابل تأیید را می دهد، زیرا کاربر در حال اجرا برنامه از کتابخانه لاگ جاوا استفاده می کند. CISA از کاربران و مدیران خواسته است که اقدامات کاهشی توصیه شده را «فوراً» به منظور رسیدگی به آسیب پذیری های حیاتی اعمال کنند. [ ۹] [ ۱۰]
سیستم ها و سرویس هایی که از کتابخانه لاگ جاوا، Apache Log4j بین نسخه های ۲٫۰ و ۲٫۱۴٫۱ استفاده می کنند، از جمله بسیاری از سرویس ها و برنامه های کاربردی نوشته شده در جاوا همگی تحت تأثیر قرار می گیرند. این آسیب پذیری ابتدا در ماینکرفت کشف شد، اما محققان هشدار می دهند که برنامه های کاربردی ابری نیز آسیب پذیر هستند. یک پست وبلاگ توسط محققان LunaSec هشدار می دهد که هر کسی که از Apache Struts استفاده می کند «احتمالاً آسیب پذیر است. » LunaSec گفت: "با توجه به فراگیر بودن این کتابخانه، تاثیر اکسپلویت ( کنترل کامل سرور ) ، و سهولت بهره برداری از آن، تاثیر این آسیب پذیری بسیار شدید است. ما آن را به اختصار "Log4Shell" می نامیم. [ ۱۰]
این نوشته برگرفته از سایت ویکی پدیا می باشد، اگر نادرست یا توهین آمیز است، لطفا گزارش دهید: گزارش تخلفگلچو از آن زمان پروژه های SLF4J و Logback[ ۳] را با هدف ارائه جانشینی برای Log4j آغاز کرده است.
در ۵ آگوست ۲۰۱۵، کمیته مدیریت پروژه Apache Logging Services اعلام کرد[ ۴] که Log4j 1 به پایان عمر خود رسیده است و به کاربران Log4j 1 توصیه می شود که به آپاچی Log4j 2 ارتقاء دهند.
یک آسیب پذیری روز صفر اجرای کد از راه دور در Log4j 2، به نام Log4Shell ( CVE - 2021 - 44228 ) ، در ۹ دسامبر ۲۰۲۱ ظاهر شد. سرویس های تحت تأثیر عبارتند از کلودفلر، آی کلاد، ماینکرفت، استیم، تنسنت کیوکیو و توئیتر. [ ۵] [ ۶] [ ۷] ویژگی ایجاد کننده این آسیب پذیری را می توان با تنظیمات پیکربندی غیرفعال کرد که به طور پیش فرض در نسخه ۲٫۱۵٫۰ که چند روز قبل به طور رسمی منتشر شد غیرفعال شده است. [ ۸] بنیاد نرم افزار آپاچی حداکثر درجه آسیب پذیری ۱۰ را به Log4Shell اختصاص داده است. [ ۷]
این آسیب پذیری به راحتی قابل بهره برداری است و مهاجمان را قادر می سازد تا کنترل کامل سرورهای آسیب دیده را به دست آورند. این آسیب پذیری که به عنوان CVE - 2021 - 44228 ردیابی می شود امکان اجرای کد از راه دور غیرقابل تأیید را می دهد، زیرا کاربر در حال اجرا برنامه از کتابخانه لاگ جاوا استفاده می کند. CISA از کاربران و مدیران خواسته است که اقدامات کاهشی توصیه شده را «فوراً» به منظور رسیدگی به آسیب پذیری های حیاتی اعمال کنند. [ ۹] [ ۱۰]
سیستم ها و سرویس هایی که از کتابخانه لاگ جاوا، Apache Log4j بین نسخه های ۲٫۰ و ۲٫۱۴٫۱ استفاده می کنند، از جمله بسیاری از سرویس ها و برنامه های کاربردی نوشته شده در جاوا همگی تحت تأثیر قرار می گیرند. این آسیب پذیری ابتدا در ماینکرفت کشف شد، اما محققان هشدار می دهند که برنامه های کاربردی ابری نیز آسیب پذیر هستند. یک پست وبلاگ توسط محققان LunaSec هشدار می دهد که هر کسی که از Apache Struts استفاده می کند «احتمالاً آسیب پذیر است. » LunaSec گفت: "با توجه به فراگیر بودن این کتابخانه، تاثیر اکسپلویت ( کنترل کامل سرور ) ، و سهولت بهره برداری از آن، تاثیر این آسیب پذیری بسیار شدید است. ما آن را به اختصار "Log4Shell" می نامیم. [ ۱۰]
wiki: لاگ۴جی