ಜಾವಾ ಲೈಬ್ರರಿ Log4j ನಲ್ಲಿನ ಕುಖ್ಯಾತ ದುರ್ಬಲತೆಯ ತುರ್ತು ಪ್ಯಾಚ್ ಫೂಲ್ಫ್ರೂಫ್ ಅಲ್ಲ. ಅಪಾಚೆ ಸಾಫ್ಟ್ವೇರ್ ಫೌಂಡೇಶನ್ ಒಮ್ಮೆ ಮತ್ತು ಎಲ್ಲರಿಗೂ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲು ಹೊಸ ಆವೃತ್ತಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡುತ್ತಿದೆ.
Java ಗಾಗಿ ಜನಪ್ರಿಯ ಲೈಬ್ರರಿಯಲ್ಲಿನ ದುರ್ಬಲತೆಯು ಜಾಗತಿಕ IT ಲ್ಯಾಂಡ್ಸ್ಕೇಪ್ ಅನ್ನು ಅಲ್ಲಾಡಿಸುತ್ತಿದೆ. ಹೆಚ್ಚಿನ ಕಾರ್ಪೊರೇಟ್ ಪರಿಸರದಲ್ಲಿ ಗ್ರಂಥಾಲಯವು ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ.
Log4j ಅನ್ನು ಮುಖ್ಯವಾಗಿ ಲಾಗಿಂಗ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ. ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿನ ಈವೆಂಟ್ಗಳನ್ನು ಟಿಪ್ಪಣಿಗಳೊಂದಿಗೆ ನೋಂದಾಯಿಸಬಹುದು. ಲಾಗಿನ್ ಪ್ರಯತ್ನದ ನಂತರ ಲಾಗಿನ್ ವಿವರಗಳ ಮುದ್ರಣದ ಬಗ್ಗೆ ಯೋಚಿಸಿ. ಅಥವಾ, ಜಾವಾದಲ್ಲಿ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ನ ಸಂದರ್ಭದಲ್ಲಿ, ಬಳಕೆದಾರರು ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಿರುವ ಬ್ರೌಸರ್ನ ಹೆಸರು.
ನಂತರದ ಉದಾಹರಣೆಗಳು ಸಾಮಾನ್ಯವಾಗಿದೆ. ಎರಡೂ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಬಾಹ್ಯ ಬಳಕೆದಾರರು Log4j ಔಟ್ಪುಟ್ ಮಾಡುವ ಲಾಗ್ನ ಮೇಲೆ ಪ್ರಭಾವ ಬೀರುತ್ತಾರೆ. ಆ ಪ್ರಭಾವವನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುವ ಸಾಧ್ಯತೆಯಿದೆ. ಸೆಪ್ಟೆಂಬರ್ 4, 13 ಮತ್ತು ಡಿಸೆಂಬರ್ 2013, 5 ರ ನಡುವಿನ ಯಾವುದೇ Log2021j ಆವೃತ್ತಿಯ ಲಾಗ್ಗಳು ಸ್ಥಳೀಯ ಸಾಧನದಲ್ಲಿ ರಿಮೋಟ್ ಸರ್ವರ್ನಿಂದ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು Java ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಸೂಚನೆ ನೀಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.
2013 ರಿಂದ, Log4j API ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುತ್ತಿದೆ: JNDI, ಅಥವಾ ಜಾವಾ ಹೆಸರಿಸುವಿಕೆ ಮತ್ತು ಡೈರೆಕ್ಟರಿ ಇಂಟರ್ಫೇಸ್. JNDI ಸೇರ್ಪಡೆಯು ಸ್ಥಳೀಯ ಸಾಧನದಲ್ಲಿ ರಿಮೋಟ್ ಸರ್ವರ್ನಿಂದ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್ಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಪ್ರೋಗ್ರಾಮರ್ಗಳು ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ರಿಮೋಟ್ ಸರ್ವರ್ನ ಬಗ್ಗೆ ಒಂದೇ ಸಾಲಿನ ವಿವರಗಳನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಸೂಚನೆ ನೀಡುತ್ತಾರೆ.
ಸಮಸ್ಯೆಯೆಂದರೆ ಪ್ರೋಗ್ರಾಮರ್ಗಳು ಮಾತ್ರವಲ್ಲದೆ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ನಿಯಮವನ್ನು ಸೇರಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. Log4j ಲಾಗಿನ್ ಪ್ರಯತ್ನಗಳ ಬಳಕೆದಾರಹೆಸರುಗಳನ್ನು ಲಾಗ್ ಮಾಡುತ್ತದೆ ಎಂದು ಭಾವಿಸೋಣ. ಬಳಕೆದಾರಹೆಸರು ಕ್ಷೇತ್ರದಲ್ಲಿ ಯಾರಾದರೂ ಮೇಲೆ ತಿಳಿಸಿದ ಸಾಲನ್ನು ನಮೂದಿಸಿದಾಗ, Log4j ಲೈನ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಸರ್ವರ್ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಆಜ್ಞೆಯನ್ನು ಅರ್ಥೈಸುತ್ತದೆ. Log4j HTTPS ವಿನಂತಿಯನ್ನು ಲಾಗ್ ಮಾಡುವ ಸಂದರ್ಭಗಳಿಗೂ ಇದು ಹೋಗುತ್ತದೆ. ನೀವು ಬ್ರೌಸರ್ ಹೆಸರನ್ನು ಸಾಲಿಗೆ ಬದಲಾಯಿಸಿದರೆ, Log4j ಲೈನ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ, ಬಯಸಿದಂತೆ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಪರೋಕ್ಷವಾಗಿ ಸೂಚನೆ ನೀಡುತ್ತದೆ.
ತುರ್ತು ಪ್ಯಾಚ್ ಕೂಡ ಅಸುರಕ್ಷಿತವಾಗಿರಬಹುದು
ಡಿಸೆಂಬರ್ 9 ರಂದು, ದುರ್ಬಲತೆ ದೊಡ್ಡ ಪ್ರಮಾಣದಲ್ಲಿ ಬೆಳಕಿಗೆ ಬಂದಿತು. ಅಪಾಚೆ ಸಾಫ್ಟ್ವೇರ್ ಫೌಂಡೇಶನ್, Log4j ನ ಡೆವಲಪರ್, ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲು ತುರ್ತು ಪ್ಯಾಚ್ (2.15) ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ. ಅಂದಿನಿಂದ, ಸಾಫ್ಟ್ವೇರ್ ಮಾರಾಟಗಾರರಿಗೆ ಆವೃತ್ತಿ 2.15 ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಮತ್ತು ಸಂಸ್ಥೆಗಳಿಗೆ ಪ್ಯಾಚ್ ಒದಗಿಸಲು ಇದು ಪ್ರಮುಖ ಆದ್ಯತೆಯಾಗಿದೆ.
ಆದಾಗ್ಯೂ, ಭದ್ರತಾ ಸಂಸ್ಥೆ ಲೂನಾಸೆಕ್ ಹೇಳುವಂತೆ ಪ್ಯಾಚ್ ಸಂಪೂರ್ಣವಾಗಿ ಜಲನಿರೋಧಕವಾಗಿಲ್ಲ. ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಸರಿಹೊಂದಿಸಲು ಮತ್ತು ಲಾಗ್ ಮಾಡಲಾದ JNDI ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಾಧ್ಯವಿದೆ.
ದಯವಿಟ್ಟು ಗಮನಿಸಿ: ಸಂಬಂಧಿತ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಸರಿಹೊಂದಿಸಬೇಕು, ಆದ್ದರಿಂದ 2.15 ರ ಮಾರ್ಪಡಿಸದ ರೂಪಾಂತರಗಳು ನಿಜವಾಗಿಯೂ ಸುರಕ್ಷಿತವಾಗಿರುತ್ತವೆ. ಅದೇನೇ ಇದ್ದರೂ, ಪೂರೈಕೆದಾರರು ಮತ್ತು ಸಂಸ್ಥೆಗಳು Log4j 2.16 ಗೆ ನವೀಕರಿಸಬೇಕೆಂದು Luna Sec ಶಿಫಾರಸು ಮಾಡುತ್ತದೆ. 2.16 ಅನ್ನು ಲೂನಾಸೆಕ್ಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಅಪಾಚೆ ಸಾಫ್ಟ್ವೇರ್ ಫೌಂಡೇಶನ್ ಪ್ರಕಟಿಸಿದೆ. ಹೊಸ ಆವೃತ್ತಿಯು ದುರ್ಬಲ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ತೆಗೆದುಹಾಕುತ್ತದೆ, ದುರುಪಯೋಗದ ಪರಿಸ್ಥಿತಿಗಳನ್ನು ರಚಿಸಲು ಅಸಾಧ್ಯವಾಗಿದೆ.