जावा लाइब्रेरी Log4j में कुख्यात भेद्यता का प्रभाव जारी है। हालांकि सबसे बड़ी समस्या को तत्काल पैच 2.16 के साथ हल किया गया था, यह संस्करण भी दुरुपयोग के लिए अतिसंवेदनशील प्रतीत होता है। सुरक्षा शोधकर्ताओं ने डेनियल ऑफ सर्विस (DoS) हमलों के लिए एक प्रवेश द्वार पाया। प्रवेश बंद करने के लिए Log4j 2.17 प्रकाशित किया गया है।
जावा लाइब्रेरी के डेवलपर अपाचे, संगठनों को आपातकालीन पैच लागू करने की सलाह देते हैं। यह सलाह तीसरी बार लागू होती है क्योंकि पुस्तकालय को असुरक्षित पाया गया था।
डेढ़ हफ्ते पहले, अलीबाबा के सुरक्षा शोधकर्ता cloud सुरक्षा टीम ने Log4j के साथ अनुप्रयोगों का दुरुपयोग करने की एक विधि का खुलासा किया। Log4j का उपयोग अनुप्रयोगों में घटनाओं को लॉग करने के लिए किया जाता है। मैलवेयर को क्रियान्वित करने के निर्देशों के साथ बाहर से लाइब्रेरी के साथ एप्लिकेशन एक्सेस करना संभव हो गया। दुरुपयोग एक स्नैप से थोड़ा अधिक लेता है। इसमें जोड़ें कि अधिकांश कॉर्पोरेट वातावरण में पुस्तकालय की अनुमानित घटना और आप वैश्विक आईटी परिदृश्य के सामने आने वाली आपदा के पैमाने को समझते हैं।
सॉफ्टवेयर डेवलपर जैसे फोर्टिनेट, सिस्को, आईबीएम और दर्जनों अन्य अपने सॉफ्टवेयर में पुस्तकालय का उपयोग करते हैं। उनके डेवलपर्स ने भेद्यता के लिए पहले आपातकालीन पैच को संसाधित करने और इसे उपयोगकर्ता संगठनों को वितरित करने के लिए सप्ताहांत 11 दिसंबर को ओवरटाइम काम किया। इन संगठनों के भीतर आईटी टीमों से ठीक उसी बहाव की उम्मीद की गई थी। दुनिया भर में सैकड़ों हजारों हमले के प्रयास हुए। सभी को जल्द से जल्द 2.15 पर स्विच करना पड़ा - 2.15 तक भी असुरक्षित पाया गया।
2.15 संस्करण में पुस्तकालय के कुछ विन्यास संभव रहे। इन विन्यासों का उपयोग करने से भेद्यता कायम रही। संस्करण 2.16 ने नए पैच की गारंटी देते हुए कॉन्फ़िगरेशन को असंभव बना दिया। अक्सर पहले से ही अधिक काम करने वाली आईटी टीमों के चिड़चिड़ेपन के लिए। हालांकि, यह हमेशा खराब हो सकता है, क्योंकि 2.16 में भी एक बीमारी है।
वापस शुरू करने के लिए
समस्या पर बड़े पैमाने पर वैश्विक ध्यान ने दुनिया भर में बड़े पैमाने पर जांच को प्रेरित किया। पुस्तकालय के विकासकर्ता अपाचे एक सुरक्षा कंपनी के बिना एक नई, दबाव वाली समस्या की ओर इशारा किए बिना दो दिनों तक अपनी सांस नहीं पकड़ पा रहे हैं।
संक्षेप में, यह पता चला है कि लॉग 4j के दर्जनों संस्करणों को चलाना संभव है - 2.16 सहित - एक लाइन (स्ट्रिंग) के साथ एक शाश्वत लूप शुरू करने के लिए जो एप्लिकेशन को क्रैश करता है। दुरुपयोग होने के लिए पर्यावरण को जिन शर्तों को पूरा करना चाहिए, वे व्यापक हैं। इतना व्यापक कि समस्या की व्यावहारिक गंभीरता विवादित है। पैच आधिकारिक तौर पर अनुशंसित है, लेकिन हर कोई आश्वस्त नहीं है।
फिर से, Log4j का हर उदाहरण असुरक्षित नहीं है, लेकिन केवल ऐसे मामले हैं जहां पुस्तकालय कस्टम सेटिंग्स पर चल रहा है। एक संभावित हमलावर को भी विस्तृत अंतर्दृष्टि की आवश्यकता होती है कि Log4j कैसे काम करता है। प्रारंभिक, आसानी से सुलभ भेद्यता के विपरीत।