Java લાઇબ્રેરી Log4j માં કુખ્યાત નબળાઈ માટેનો કટોકટી પેચ ફૂલપ્રૂફ નથી. અપાચે સોફ્ટવેર ફાઉન્ડેશન એકવાર અને બધા માટે નબળાઈને ઠીક કરવા માટે એક નવું સંસ્કરણ બહાર પાડી રહ્યું છે.
જાવા માટે અત્યંત લોકપ્રિય પુસ્તકાલયમાં નબળાઈ વૈશ્વિક IT લેન્ડસ્કેપને હલાવી રહી છે. એવો અંદાજ છે કે મોટાભાગના કોર્પોરેટ વાતાવરણમાં પુસ્તકાલય અસ્તિત્વમાં છે.
Log4j નો ઉપયોગ મુખ્યત્વે લોગીંગ માટે થાય છે. અરજીઓમાંની ઘટનાઓ નોંધો વડે રજીસ્ટર કરી શકાય છે. લોગિન પ્રયાસ પછી લોગિન વિગતોની પ્રિન્ટઆઉટ વિશે વિચારો. અથવા, Javaમાં વેબ એપ્લિકેશનના કિસ્સામાં, વપરાશકર્તા જે બ્રાઉઝર સાથે કનેક્ટ કરવાનો પ્રયાસ કરી રહ્યો છે તેનું નામ.
પછીના ઉદાહરણો સામાન્ય છે. બંને કિસ્સાઓમાં, બાહ્ય વપરાશકર્તા લોગને પ્રભાવિત કરે છે જે Log4j આઉટપુટ કરે છે. તે પ્રભાવનો દુરુપયોગ શક્ય છે. 4 સપ્ટેમ્બર, 13 અને ડિસેમ્બર 2013, 5 ની વચ્ચેના કોઈપણ Log2021j સંસ્કરણના લોગ, Java એપ્લિકેશનને સ્થાનિક ઉપકરણ પર રિમોટ સર્વરથી કોડ ચલાવવા માટે સૂચના આપવા સક્ષમ છે.
2013 થી, Log4j એ API પર પ્રક્રિયા કરી રહ્યું છે: JNDI, અથવા Java નેમિંગ અને ડિરેક્ટરી ઈન્ટરફેસ. JNDI નો ઉમેરો જાવા એપ્લિકેશનને સ્થાનિક ઉપકરણ પર રિમોટ સર્વરથી કોડ ચલાવવાની મંજૂરી આપે છે. પ્રોગ્રામર્સ એપ્લિકેશનમાં રીમોટ સર્વર વિશે વિગતોની એક લીટી ઉમેરીને સૂચના આપે છે.
સમસ્યા એ છે કે માત્ર પ્રોગ્રામરો જ એપ્લીકેશનમાં નિયમ ઉમેરવા માટે સક્ષમ નથી. ધારો કે Log4j લૉગિન પ્રયાસોના વપરાશકર્તાનામોને લૉગ કરે છે. જ્યારે કોઈ વપરાશકર્તા નામ ફીલ્ડમાં ઉપરોક્ત લીટી દાખલ કરે છે, ત્યારે Log4j લાઇન ચલાવે છે અને Java એપ્લિકેશન ઉલ્લેખિત સર્વર પર કોડ ચલાવવા માટે આદેશનું અર્થઘટન કરે છે. આ જ એવા કિસ્સાઓ માટે છે જ્યાં Log4j HTTPS વિનંતીને લૉગ કરે છે. જો તમે બ્રાઉઝરનું નામ લાઇનમાં બદલો છો, તો Log4j લાઇનને ચલાવે છે, આડકતરી રીતે તેને ઇચ્છિત કોડ ચલાવવા માટે સૂચના આપે છે.
ઈમરજન્સી પેચ પણ અસુરક્ષિત હોઈ શકે છે
9 ડિસેમ્બરે, નબળાઈ મોટા પાયે પ્રકાશમાં આવી. અપાચે સોફ્ટવેર ફાઉન્ડેશન, Log4j ના ડેવલપર, નબળાઈને ઠીક કરવા માટે ઈમરજન્સી પેચ (2.15) બહાર પાડ્યો. ત્યારથી, સોફ્ટવેર વિક્રેતાઓ માટે સંસ્કરણ 2.15 પર પ્રક્રિયા કરવા અને સંસ્થાઓ માટે પેચ પ્રદાન કરવા માટે તે ટોચની પ્રાથમિકતા છે.
જો કે, સુરક્ષા સંસ્થા LunaSec જણાવે છે કે પેચ સંપૂર્ણપણે વોટરટાઈટ નથી. સેટિંગને સમાયોજિત કરવું અને JNDI કમાન્ડને એક્ઝિક્યુટ કરવા માટે લૉગ ઇન કરવું શક્ય છે.
મહેરબાની કરીને નોંધ કરો: સંબંધિત સેટિંગને મેન્યુઅલી એડજસ્ટ કરવી આવશ્યક છે, જેથી કરીને 2.15 ના ફેરફાર ન કરાયેલ વેરિયન્ટ્સ ખરેખર સલામત હોય. તેમ છતાં, Luna Sec ભલામણ કરે છે કે સપ્લાયર્સ અને સંસ્થાઓ Log4j 2.16 પર અપડેટ કરે. લુનાસેકના પ્રતિભાવમાં અપાચે સોફ્ટવેર ફાઉન્ડેશન દ્વારા 2.16 પ્રકાશિત કરવામાં આવ્યું હતું. નવું સંસ્કરણ સંપૂર્ણપણે નબળા સેટિંગને દૂર કરે છે, જેનાથી દુરુપયોગ માટેની પરિસ્થિતિઓ બનાવવાનું અશક્ય બને છે.