Log4j 2.16 DoS હુમલાઓ માટે સંવેદનશીલ, તાત્કાલિક પેચ 2.17 ભલામણ કરેલ

Java લાઇબ્રેરી Log4j માં કુખ્યાત નબળાઈની અસર ચાલુ રહે છે. જો કે સૌથી મોટી સમસ્યા તાત્કાલિક પેચ 2.16 સાથે હલ કરવામાં આવી હતી, આ સંસ્કરણ પણ દુરુપયોગ માટે સંવેદનશીલ હોય તેવું લાગે છે. સુરક્ષા સંશોધકોએ ડિનાયલ ઑફ સર્વિસ (DoS) હુમલાઓ માટે પ્રવેશ મેળવ્યો. પ્રવેશ બંધ કરવા માટે Log4j 2.17 પ્રકાશિત કરવામાં આવ્યું છે.

અપાચે, જાવા લાઇબ્રેરીના વિકાસકર્તા, સંસ્થાઓને કટોકટી પેચ લાગુ કરવાની સલાહ આપે છે. તે સલાહ ત્રીજી વખત લાગુ પડે છે કારણ કે પુસ્તકાલય સંવેદનશીલ હોવાનું જણાયું હતું.

દોઢ અઠવાડિયા પહેલા, અલીબાબાના સુરક્ષા સંશોધકો cloud સુરક્ષા ટીમે Log4j સાથે એપ્લિકેશનનો દુરુપયોગ કરવાની પદ્ધતિ જાહેર કરી. Log4j નો ઉપયોગ ઇવેન્ટ્સને લોગ કરવા માટે એપ્લિકેશન્સમાં થાય છે. માલવેર ચલાવવા માટેની સૂચનાઓ સાથે બહારથી લાઇબ્રેરી સાથેની એપ્લિકેશનોને ઍક્સેસ કરવી શક્ય હોવાનું બહાર આવ્યું છે. દુરુપયોગ ત્વરિત કરતાં થોડો વધારે લે છે. તેમાં મોટા ભાગના કોર્પોરેટ વાતાવરણમાં લાઇબ્રેરીની અંદાજિત ઘટના ઉમેરો અને તમે વૈશ્વિક IT લેન્ડસ્કેપનો સામનો કરતી આપત્તિના સ્કેલને સમજો છો.

સોફ્ટવેર ડેવલપર્સ જેમ કે ફોર્ટીનેટ, સિસ્કો, આઈબીએમ અને અન્ય ડઝનેક લોકો તેમના સોફ્ટવેરમાં લાઈબ્રેરીનો ઉપયોગ કરે છે. તેમના વિકાસકર્તાઓએ નબળાઈ માટેના પ્રથમ કટોકટી પેચની પ્રક્રિયા કરવા અને તેને વપરાશકર્તા સંસ્થાઓ સુધી પહોંચાડવા માટે 11 ડિસેમ્બરના સપ્તાહના અંતે ઓવરટાઇમ કામ કર્યું. આ સંસ્થાઓમાં IT ટીમો પાસેથી બરાબર એ જ ડ્રિફ્ટની અપેક્ષા હતી. વિશ્વભરમાં હજારો હુમલાના પ્રયાસો થયા. દરેક વ્યક્તિએ શક્ય તેટલી વહેલી તકે 2.15 પર સ્વિચ કરવું પડ્યું – જ્યાં સુધી 2.15 પણ સંવેદનશીલ હોવાનું જણાયું ન હતું.

આવૃત્તિ 2.15 માં લાઇબ્રેરીની અમુક રૂપરેખાંકનો શક્ય રહી. આ રૂપરેખાંકનોનો ઉપયોગ કરીને નબળાઈને કાયમી બનાવી. સંસ્કરણ 2.16 એ નવા પેચની બાંયધરી આપતા, રૂપરેખાંકનોને અશક્ય બનાવ્યું. ઘણી વખત પહેલેથી જ વધારે કામ કરી ગયેલી આઈટી ટીમોની ચિંતા. જો કે, તે હંમેશા ખરાબ હોઈ શકે છે, કારણ કે 2.16 માં પણ બીમારી છે.

પાછા શરૂ કરવા માટે

સમસ્યા તરફના વ્યાપક વૈશ્વિક ધ્યાને વ્યાપક વિશ્વવ્યાપી તપાસને પ્રોત્સાહન આપ્યું. અપાચે, લાઇબ્રેરીના વિકાસકર્તા, સુરક્ષા કંપનીએ નવી, દબાવતી સમસ્યાનો નિર્દેશ કર્યા વિના બે દિવસ સુધી તેનો શ્વાસ પકડી શકતો નથી.

ટૂંકમાં, તે તારણ આપે છે કે એપ્લિકેશનને ક્રેશ કરતી શાશ્વત લૂપ શરૂ કરવા માટે 4 સહિત - log2.16j ની ડઝનેક આવૃત્તિઓ ચલાવવી શક્ય છે. દુરુપયોગ કરવા માટે પર્યાવરણને મળવું આવશ્યક છે તે શરતો વ્યાપક છે. એટલી વ્યાપક છે કે સમસ્યાની વ્યવહારિક ગંભીરતા વિવાદિત છે. પેચ સત્તાવાર રીતે ભલામણ કરવામાં આવે છે, પરંતુ દરેકને ખાતરી નથી.

ફરીથી, Log4j ની દરેક ઘટના સંવેદનશીલ નથી, પરંતુ ફક્ત એવા કિસ્સાઓ જ્યાં લાઇબ્રેરી કસ્ટમ સેટિંગ્સ પર ચાલી રહી છે. સંભવિત હુમલાખોરને Log4j કેવી રીતે કાર્ય કરે છે તેની વિગતવાર સમજની પણ જરૂર છે. પ્રારંભિક, સરળતાથી સુલભ નબળાઈથી વિપરીત.