ಜಾವಾ ಲೈಬ್ರರಿ Log4j ನಲ್ಲಿನ ಕುಖ್ಯಾತ ದುರ್ಬಲತೆಯ ಪರಿಣಾಮವು ಎಳೆಯುತ್ತದೆ. ತುರ್ತು ಪ್ಯಾಚ್ 2.16 ನೊಂದಿಗೆ ದೊಡ್ಡ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದ್ದರೂ, ಈ ಆವೃತ್ತಿಯು ದುರುಪಯೋಗಕ್ಕೆ ಒಳಗಾಗುವ ಸಾಧ್ಯತೆಯಿದೆ. ಭದ್ರತಾ ಸಂಶೋಧಕರು ಸೇವೆಯ ನಿರಾಕರಣೆ (DoS) ದಾಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಕಂಡುಕೊಂಡಿದ್ದಾರೆ. ಪ್ರವೇಶವನ್ನು ಮುಚ್ಚಲು Log4j 2.17 ಅನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ.
ಜಾವಾ ಲೈಬ್ರರಿಯ ಡೆವಲಪರ್ ಅಪಾಚೆ, ತುರ್ತು ಪ್ಯಾಚ್ ಅನ್ನು ಅನ್ವಯಿಸಲು ಸಂಸ್ಥೆಗಳಿಗೆ ಸಲಹೆ ನೀಡುತ್ತಾರೆ. ಲೈಬ್ರರಿಯು ದುರ್ಬಲವಾಗಿದೆ ಎಂದು ಕಂಡುಬಂದ ಕಾರಣ ಆ ಸಲಹೆಯು ಮೂರನೇ ಬಾರಿಗೆ ಅನ್ವಯಿಸುತ್ತದೆ.
ಒಂದೂವರೆ ವಾರದ ಹಿಂದೆ, ಅಲಿಬಾಬಾದ ಭದ್ರತಾ ಸಂಶೋಧಕರು cloud ಭದ್ರತಾ ತಂಡವು Log4j ನೊಂದಿಗೆ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ದುರ್ಬಳಕೆ ಮಾಡುವ ವಿಧಾನವನ್ನು ಬಹಿರಂಗಪಡಿಸಿದೆ. ಈವೆಂಟ್ಗಳನ್ನು ಲಾಗ್ ಮಾಡಲು Log4j ಅನ್ನು ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ. ಮಾಲ್ವೇರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸೂಚನೆಗಳೊಂದಿಗೆ ಹೊರಗಿನಿಂದ ಲೈಬ್ರರಿಯೊಂದಿಗೆ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ಇದು ಸಾಧ್ಯವಾಯಿತು. ನಿಂದನೆಯು ಒಂದು ಸ್ನ್ಯಾಪ್ಗಿಂತ ಸ್ವಲ್ಪ ಹೆಚ್ಚು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಹೆಚ್ಚಿನ ಕಾರ್ಪೊರೇಟ್ ಪರಿಸರದಲ್ಲಿ ಲೈಬ್ರರಿಯ ಅಂದಾಜು ಸಂಭವಿಸುವಿಕೆಯನ್ನು ಸೇರಿಸಿ ಮತ್ತು ಜಾಗತಿಕ ಐಟಿ ಭೂದೃಶ್ಯವನ್ನು ಎದುರಿಸುತ್ತಿರುವ ದುರಂತದ ಪ್ರಮಾಣವನ್ನು ನೀವು ಅರ್ಥಮಾಡಿಕೊಂಡಿದ್ದೀರಿ.
ಸಾಫ್ಟ್ವೇರ್ ಡೆವಲಪರ್ಗಳಾದ ಫೋರ್ಟಿನೆಟ್, ಸಿಸ್ಕೊ, ಐಬಿಎಂ ಮತ್ತು ಹತ್ತಾರು ಇತರರು ತಮ್ಮ ಸಾಫ್ಟ್ವೇರ್ನಲ್ಲಿ ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುತ್ತಾರೆ. ದುರ್ಬಲತೆಗಾಗಿ ಮೊದಲ ತುರ್ತು ಪ್ಯಾಚ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಮತ್ತು ಅದನ್ನು ಬಳಕೆದಾರರ ಸಂಸ್ಥೆಗಳಿಗೆ ತಲುಪಿಸಲು ಅವರ ಡೆವಲಪರ್ಗಳು ವಾರಾಂತ್ಯದ ಡಿಸೆಂಬರ್ 11 ರಂದು ಅಧಿಕಾವಧಿ ಕೆಲಸ ಮಾಡಿದರು. ಈ ಸಂಸ್ಥೆಗಳೊಳಗಿನ ಐಟಿ ತಂಡಗಳಿಂದ ನಿಖರವಾಗಿ ಅದೇ ದಿಕ್ಚ್ಯುತಿಯನ್ನು ನಿರೀಕ್ಷಿಸಲಾಗಿತ್ತು. ಪ್ರಪಂಚದಾದ್ಯಂತ ನೂರಾರು ಸಾವಿರ ದಾಳಿಯ ಪ್ರಯತ್ನಗಳು ನಡೆದವು. ಪ್ರತಿಯೊಬ್ಬರೂ ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ 2.15 ಕ್ಕೆ ಬದಲಾಯಿಸಬೇಕಾಗಿತ್ತು - 2.15 ರವರೆಗೆ ದುರ್ಬಲವಾಗಿರುವುದು ಕಂಡುಬಂದಿದೆ.
ಲೈಬ್ರರಿಯ ಕೆಲವು ಸಂರಚನೆಗಳು ಆವೃತ್ತಿ 2.15 ರಲ್ಲಿ ಸಾಧ್ಯವಾಯಿತು. ಈ ಸಂರಚನೆಗಳನ್ನು ಬಳಸುವುದು ದುರ್ಬಲತೆಯನ್ನು ಶಾಶ್ವತಗೊಳಿಸಿತು. ಆವೃತ್ತಿ 2.16 ಸಂರಚನೆಗಳನ್ನು ಅಸಾಧ್ಯವಾಗಿಸಿದೆ, ಹೊಸ ಪ್ಯಾಚ್ ಅನ್ನು ಖಾತರಿಪಡಿಸುತ್ತದೆ. ಈಗಾಗಲೇ ಅತಿಯಾದ ಕೆಲಸ ಮಾಡುತ್ತಿರುವ ಐಟಿ ತಂಡಗಳ ಅಸಮಾಧಾನಕ್ಕೆ ಆಗಾಗ್ಗೆ. ಆದಾಗ್ಯೂ, ಇದು ಯಾವಾಗಲೂ ಕೆಟ್ಟದಾಗಿರಬಹುದು, ಏಕೆಂದರೆ 2.16 ಸಹ ಅನಾರೋಗ್ಯವನ್ನು ಹೊಂದಿದೆ.
ಪ್ರಾರಂಭಕ್ಕೆ ಹಿಂತಿರುಗಿ
ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಜಾಗತಿಕ ಗಮನವು ಬೃಹತ್ ವಿಶ್ವಾದ್ಯಂತ ತನಿಖೆಯನ್ನು ಪ್ರೇರೇಪಿಸಿತು. ಅಪಾಚೆ, ಲೈಬ್ರರಿಯ ಡೆವಲಪರ್, ಭದ್ರತಾ ಕಂಪನಿಯು ಹೊಸ, ಒತ್ತುವ ಸಮಸ್ಯೆಯನ್ನು ಸೂಚಿಸದೆ ಎರಡು ದಿನಗಳವರೆಗೆ ತನ್ನ ಉಸಿರನ್ನು ಹಿಡಿಯಲು ಸಾಧ್ಯವಿಲ್ಲ.
ಸಂಕ್ಷಿಪ್ತವಾಗಿ, ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಕ್ರ್ಯಾಶ್ ಮಾಡುವ ಶಾಶ್ವತ ಲೂಪ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲು 4 ಸೇರಿದಂತೆ - ಒಂದು ಸಾಲಿನ (ಸ್ಟ್ರಿಂಗ್) ನೊಂದಿಗೆ log2.16j ನ ಡಜನ್ಗಟ್ಟಲೆ ಆವೃತ್ತಿಗಳನ್ನು ಚಲಾಯಿಸಲು ಸಾಧ್ಯವಿದೆ ಎಂದು ಅದು ತಿರುಗುತ್ತದೆ. ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳಲು ಪರಿಸರವನ್ನು ಪೂರೈಸಬೇಕಾದ ಪರಿಸ್ಥಿತಿಗಳು ವ್ಯಾಪಕವಾಗಿವೆ. ಸಮಸ್ಯೆಯ ಪ್ರಾಯೋಗಿಕ ಗಂಭೀರತೆಯು ವಿವಾದಾಸ್ಪದವಾಗಿದೆ ಎಂದು ಎಷ್ಟು ವಿಸ್ತಾರವಾಗಿದೆ. ಪ್ಯಾಚ್ ಅನ್ನು ಅಧಿಕೃತವಾಗಿ ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ, ಆದರೆ ಎಲ್ಲರಿಗೂ ಮನವರಿಕೆಯಾಗುವುದಿಲ್ಲ.
ಮತ್ತೊಮ್ಮೆ, Log4j ನ ಪ್ರತಿಯೊಂದು ನಿದರ್ಶನವೂ ದುರ್ಬಲವಾಗಿರುವುದಿಲ್ಲ, ಆದರೆ ಕಸ್ಟಮ್ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ಲೈಬ್ರರಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಸಂದರ್ಭಗಳಲ್ಲಿ ಮಾತ್ರ. ಸಂಭಾವ್ಯ ಆಕ್ರಮಣಕಾರರಿಗೆ Log4j ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದರ ಕುರಿತು ವಿವರವಾದ ಒಳನೋಟದ ಅಗತ್ಯವಿದೆ. ಆರಂಭಿಕ, ಸುಲಭವಾಗಿ ಪ್ರವೇಶಿಸಬಹುದಾದ ದುರ್ಬಲತೆಗೆ ವ್ಯತಿರಿಕ್ತವಾಗಿದೆ.