জাভা লাইব্রেরিতে কুখ্যাত দুর্বলতার প্রভাব Log4j টানছে। যদিও সবচেয়ে বড় সমস্যাটি জরুরী প্যাচ 2.16 দিয়ে সমাধান করা হয়েছিল, এই সংস্করণটি অপব্যবহারের জন্যও সংবেদনশীল বলে মনে হচ্ছে। নিরাপত্তা গবেষকরা পরিষেবা অস্বীকার (DoS) আক্রমণের জন্য একটি প্রবেশদ্বার খুঁজে পেয়েছেন। এন্ট্রি বন্ধ করার জন্য Log4j 2.17 প্রকাশিত হয়েছে।
Apache, জাভা লাইব্রেরির বিকাশকারী, সংস্থাগুলিকে জরুরি প্যাচ প্রয়োগ করার পরামর্শ দেয়। লাইব্রেরিটি দুর্বল বলে প্রমাণিত হওয়ার পর থেকে এই পরামর্শটি তৃতীয়বারের জন্য প্রযোজ্য।
দেড় সপ্তাহ আগে আলিবাবার নিরাপত্তা গবেষকরা cloud নিরাপত্তা দল Log4j এর সাথে অ্যাপ্লিকেশনের অপব্যবহার করার একটি পদ্ধতি প্রকাশ করেছে। Log4j ইভেন্ট লগ করার জন্য অ্যাপ্লিকেশনগুলিতে ব্যবহৃত হয়। ম্যালওয়্যার চালানোর নির্দেশাবলী সহ বাইরে থেকে লাইব্রেরির সাথে অ্যাপ্লিকেশনগুলি অ্যাক্সেস করা সম্ভব বলে প্রমাণিত হয়েছে। অপব্যবহার একটি স্ন্যাপ চেয়ে একটু বেশি লাগে. বেশিরভাগ কর্পোরেট পরিবেশে লাইব্রেরির আনুমানিক ঘটনা যোগ করুন এবং আপনি বিশ্বব্যাপী আইটি ল্যান্ডস্কেপের মুখোমুখি বিপর্যয়ের মাত্রা বুঝতে পারেন।
Fortinet, Cisco, IBM এবং আরও কয়েক ডজন সফ্টওয়্যার বিকাশকারীরা তাদের সফ্টওয়্যারে লাইব্রেরি ব্যবহার করে। তাদের ডেভেলপাররা 11 ডিসেম্বর সপ্তাহান্তে ওভারটাইম কাজ করে দুর্বলতার জন্য প্রথম জরুরী প্যাচটি প্রক্রিয়া করতে এবং এটি ব্যবহারকারী সংস্থার কাছে পৌঁছে দিতে। এই সংস্থাগুলির মধ্যে আইটি দলগুলি থেকে ঠিক একই প্রবাহ প্রত্যাশিত ছিল। বিশ্বব্যাপী কয়েক হাজার হামলার চেষ্টা হয়েছে। প্রত্যেককে যত তাড়াতাড়ি সম্ভব 2.15-এ স্যুইচ করতে হয়েছিল - যতক্ষণ না 2.15কেও দুর্বল হিসাবে পাওয়া যায়।
লাইব্রেরির কিছু কনফিগারেশন 2.15 সংস্করণে সম্ভব ছিল। এই কনফিগারেশন ব্যবহার করে দুর্বলতা স্থায়ী হয়. সংস্করণ 2.16 কনফিগারেশনগুলিকে অসম্ভব করে তোলে, একটি নতুন প্যাচের নিশ্চয়তা দেয়। প্রায়শই ইতিমধ্যেই অতিরিক্ত কাজ করা আইটি টিমের ক্ষোভের জন্য। যাইহোক, এটি সর্বদা খারাপ হতে পারে, কারণ 2.16 এরও একটি অসুস্থতা রয়েছে।
শুরুতে ফিরে যান
সমস্যাটির প্রতি ব্যাপক বৈশ্বিক মনোযোগ বিশ্বব্যাপী ব্যাপক তদন্তকে উদ্বুদ্ধ করেছে। Apache, লাইব্রেরির বিকাশকারী, একটি নিরাপত্তা সংস্থা একটি নতুন, চাপা সমস্যা নির্দেশ না করে দুই দিন তার শ্বাস ধরতে পারে না।
সংক্ষেপে, এটা দেখা যাচ্ছে যে log4j-এর কয়েক ডজন সংস্করণ চালানো সম্ভব – 2.16 সহ – একটি লাইন (স্ট্রিং) দিয়ে একটি চিরন্তন লুপ শুরু করতে যা অ্যাপ্লিকেশনটিকে ক্র্যাশ করে। অপব্যবহারের জন্য পরিবেশের যে শর্তগুলি পূরণ করতে হবে তা ব্যাপক। এত বিস্তৃত যে সমস্যার ব্যবহারিক গুরুতরতা বিতর্কিত। প্যাচ আনুষ্ঠানিকভাবে সুপারিশ করা হয়, কিন্তু সবাই বিশ্বাসী হয় না.
আবার, Log4j-এর প্রতিটি দৃষ্টান্তই দুর্বল নয়, তবে শুধুমাত্র সেই ক্ষেত্রে যেখানে লাইব্রেরি কাস্টম সেটিংসে চলছে। Log4j কিভাবে কাজ করে সে সম্পর্কেও একজন সম্ভাব্য আক্রমণকারীর বিস্তারিত অন্তর্দৃষ্টি প্রয়োজন। প্রাথমিক, সহজে অ্যাক্সেসযোগ্য দুর্বলতার বিপরীতে।