Java ലൈബ്രറി Log4j-ലെ കുപ്രസിദ്ധമായ ദുർബലതയുടെ ആഘാതം ഇഴയുന്നു. അടിയന്തിര പാച്ച് 2.16 ഉപയോഗിച്ച് ഏറ്റവും വലിയ പ്രശ്നം പരിഹരിച്ചെങ്കിലും, ഈ പതിപ്പും ദുരുപയോഗത്തിന് വിധേയമാകുമെന്ന് തോന്നുന്നു. സുരക്ഷാ ഗവേഷകർ സേവന നിരസിക്കൽ (DoS) ആക്രമണത്തിനുള്ള പ്രവേശനം കണ്ടെത്തി. പ്രവേശനം അവസാനിപ്പിക്കുന്നതിനായി Log4j 2.17 പ്രസിദ്ധീകരിച്ചു.
ജാവ ലൈബ്രറിയുടെ ഡെവലപ്പറായ അപ്പാച്ചെ, എമർജൻസി പാച്ച് പ്രയോഗിക്കാൻ ഓർഗനൈസേഷനുകളെ ഉപദേശിക്കുന്നു. ലൈബ്രറി ദുർബലമാണെന്ന് കണ്ടെത്തിയതിനെത്തുടർന്ന് ആ ഉപദേശം മൂന്നാം തവണയും ബാധകമാണ്.
ഒന്നര ആഴ്ച മുമ്പ്, ആലിബാബയുടെ സുരക്ഷാ ഗവേഷകർ cloud Log4j ഉപയോഗിച്ച് ആപ്ലിക്കേഷനുകൾ ദുരുപയോഗം ചെയ്യുന്നതിനുള്ള ഒരു രീതി സുരക്ഷാ സംഘം വെളിപ്പെടുത്തി. ഇവൻ്റുകൾ ലോഗ് ചെയ്യുന്നതിനുള്ള ആപ്ലിക്കേഷനുകളിൽ Log4j ഉപയോഗിക്കുന്നു. ക്ഷുദ്രവെയർ എക്സിക്യൂട്ട് ചെയ്യുന്നതിനുള്ള നിർദ്ദേശങ്ങൾക്കൊപ്പം പുറത്തുനിന്നും ലൈബ്രറിയിൽ നിന്ന് ആപ്ലിക്കേഷനുകൾ ആക്സസ് ചെയ്യാൻ കഴിയുമെന്ന് തെളിഞ്ഞു. ദുരുപയോഗം ഒരു നിമിഷത്തിൽ കൂടുതൽ എടുക്കും. ഒട്ടുമിക്ക കോർപ്പറേറ്റ് പരിതസ്ഥിതികളിലും ഗ്രന്ഥശാലയുടെ കണക്കാക്കിയ സംഭവവികാസങ്ങൾ ചേർക്കുക, ആഗോള ഐടി ലാൻഡ്സ്കേപ്പ് അഭിമുഖീകരിക്കുന്ന ദുരന്തത്തിൻ്റെ തോത് നിങ്ങൾ മനസ്സിലാക്കുന്നു.
ഫോർട്ടിനെറ്റ്, സിസ്കോ, ഐബിഎം തുടങ്ങിയ സോഫ്റ്റ്വെയർ ഡെവലപ്പർമാരും മറ്റ് ഡസൻ കണക്കിന് മറ്റുള്ളവരും അവരുടെ സോഫ്റ്റ്വെയറിൽ ലൈബ്രറി ഉപയോഗിക്കുന്നു. അവരുടെ ഡെവലപ്പർമാർ ഡിസംബർ 11-ന് വാരാന്ത്യത്തിൽ ഓവർടൈം ജോലിചെയ്ത് അപകടസാധ്യതയ്ക്കുള്ള ആദ്യത്തെ എമർജൻസി പാച്ച് പ്രോസസ്സ് ചെയ്യാനും ഉപയോക്തൃ ഓർഗനൈസേഷനുകൾക്ക് കൈമാറാനും ശ്രമിച്ചു. ഈ സ്ഥാപനങ്ങൾക്കുള്ളിലെ ഐടി ടീമുകളിൽ നിന്നും കൃത്യമായി ഇതേ ഡ്രിഫ്റ്റ് പ്രതീക്ഷിച്ചിരുന്നു. ലോകമെമ്പാടും ലക്ഷക്കണക്കിന് ആക്രമണ ശ്രമങ്ങൾ നടന്നു. എല്ലാവരും എത്രയും വേഗം 2.15 ലേക്ക് മാറണം - 2.15 വരെ അപകടസാധ്യതയുള്ളതായി കണ്ടെത്തി.
ലൈബ്രറിയുടെ ചില കോൺഫിഗറേഷനുകൾ പതിപ്പ് 2.15-ൽ സാധ്യമായിരുന്നു. ഈ കോൺഫിഗറേഷനുകൾ ഉപയോഗിക്കുന്നത് അപകടസാധ്യത ശാശ്വതമാക്കി. പതിപ്പ് 2.16 കോൺഫിഗറേഷനുകൾ അസാധ്യമാക്കി, ഒരു പുതിയ പാച്ച് ഉറപ്പുനൽകുന്നു. ഇതിനകം അമിതമായി ജോലി ചെയ്യുന്ന ഐടി ടീമുകളുടെ സങ്കടത്തിന് പലപ്പോഴും. എന്നിരുന്നാലും, ഇത് എല്ലായ്പ്പോഴും മോശമായേക്കാം, കാരണം 2.16 നും ഒരു അസുഖമുണ്ട്.
തുടക്കത്തിലേക്ക് മടങ്ങുക
പ്രശ്നത്തിലേക്കുള്ള വൻ ആഗോള ശ്രദ്ധ ലോകവ്യാപകമായ അന്വേഷണത്തിന് പ്രേരിപ്പിച്ചു. ലൈബ്രറിയുടെ ഡെവലപ്പറായ അപ്പാച്ചെയ്ക്ക്, ഒരു സുരക്ഷാ കമ്പനി പുതിയതും സമ്മർദപൂരിതവുമായ ഒരു പ്രശ്നം ചൂണ്ടിക്കാണിക്കാതെ രണ്ട് ദിവസത്തേക്ക് ശ്വാസമടക്കിപ്പിടിക്കാൻ കഴിയില്ല.
ചുരുക്കത്തിൽ, ആപ്ലിക്കേഷനെ ക്രാഷുചെയ്യുന്ന ഒരു ശാശ്വത ലൂപ്പ് ആരംഭിക്കുന്നതിന് ഒരു വരി (സ്ട്രിംഗ്) ഉപയോഗിച്ച് log4j-ൻ്റെ ഡസൻ കണക്കിന് പതിപ്പുകൾ - 2.16 ഉൾപ്പെടെ - പ്രവർത്തിപ്പിക്കാൻ കഴിയുമെന്ന് ഇത് മാറുന്നു. ദുരുപയോഗം ചെയ്യപ്പെടുന്നതിന് ഒരു പരിസ്ഥിതി പാലിക്കേണ്ട വ്യവസ്ഥകൾ വിപുലമാണ്. പ്രശ്നത്തിൻ്റെ പ്രായോഗിക ഗൗരവം തർക്കമാകത്തക്കവിധം വിപുലമാണ്. പാച്ച് ഔദ്യോഗികമായി ശുപാർശ ചെയ്യപ്പെടുന്നു, പക്ഷേ എല്ലാവർക്കും ബോധ്യപ്പെട്ടിട്ടില്ല.
വീണ്ടും, Log4j-ൻ്റെ എല്ലാ സംഭവങ്ങളും ദുർബലമല്ല, എന്നാൽ ഇഷ്ടാനുസൃത ക്രമീകരണങ്ങളിൽ ലൈബ്രറി പ്രവർത്തിക്കുന്ന സന്ദർഭങ്ങളിൽ മാത്രം. ഒരു ആക്രമണകാരിക്ക് Log4j എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിനെക്കുറിച്ചുള്ള വിശദമായ ഉൾക്കാഴ്ചയും ആവശ്യമാണ്. പ്രാരംഭവും എളുപ്പത്തിൽ ആക്സസ് ചെയ്യാവുന്നതുമായ അപകടസാധ്യതയിലേക്കുള്ള ഒരു വൈരുദ്ധ്യം.