កំហុសថ្មីក្នុង Log4j Java Library រងការបំពានជាសកល

0

កាលពីពេលថ្មីៗនេះ អ្នកស្រាវជ្រាវបានរកឃើញភាពងាយរងគ្រោះ Log4j Java Library។ ភាពងាយរងគ្រោះ zero-day នោះ គឺជាកំហុសនៃការប្រតិបត្តិលេខកូដពីចម្ងាយ (RCE) ដែលរងការកេងប្រវ័ញ្ចពីតួអង្គគំរាមកំហែង។

ដោយសារតែមានកំហុស zero-day ទើបអ្នកប្រើប្រាស់តាមផ្ទះ និងសហគ្រាសមួយចំនួនត្រូវប្រឈមជាមួយការវាយប្រហារប្រតិបត្តិកូដពីចម្ងាយ។ Log4j ត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយទាំងកម្មវិធីសហគ្រាស និងសេវាកម្ម cloud ដោយសារតែវាជាឧបករណ៍លុកចូល ដែលមានមូលដ្ឋាននៅលើស្គ្រីប Java ហើយវាត្រូវបានបង្កើតឡើងដោយក្រុម Apache Foundation។ ខាងក្រោមនេះគឺជាកំហុសដែលគេរកឃើញ និងបានជួសជុលរួច៖
-កំហុស CVE-2021-44228 ត្រូវបានជួសជុលក្នុង Log4j 2.15.0.
-កំហុសCVE-2020-9488 ត្រូវបានជួសជុលក្នុង Log4j 2.13.2.
-កំហុសCVE-2017-5645 ត្រូវបានជួសជុលក្នុង Log4j 2.8.2.

កំហុស zero-day នេះបានបង្កផលប៉ះពាល់ដល់សេវាកម្ម និងកម្មវិធីពេញនិយមមួយចំនួនមានដូចជា Steam, Apple iCloud, Minecraft, Amazon, Cloudflare និង Twitter ជាដើម។
ចំណែកឯ នៅលើម៉ាស៊ីនរបស់ក្រុមហ៊ុន Apple ចំពោះការផ្លាស់ប្តូរសាមញ្ញៗនៃឈ្មោះរបស់ iPhone ក៏អាចបង្កឱ្យមានភាពងាយរងគ្រោះ។ ទោះបីជាយ៉ាងណាក៏ដោយ ក្រោយពីបានរកឃើញកំហុស zero-day មួយចំនួននោះ សេវាកម្មដែលរងផលប៉ះពាល់មួយចំនួនបានចាប់ផ្តើមជួសជុលដោយការប្រើប្រាស់កំណែ log4j2៕

ប្រែសម្រួល៖ប៉ោក លក្ខិណា
ប្រភពព័ត៌មាន gbhackers ចុះផ្សាយថ្ងៃទី១៣ ខែធ្នូ ឆ្នាំ២០២១

LEAVE A REPLY

Please enter your comment!
Please enter your name here