Java लायब्ररी Log4j मधील कुप्रसिद्ध असुरक्षिततेसाठी आणीबाणी पॅच अजिबात नाही. Apache Software Foundation असुरक्षिततेचे निराकरण करण्यासाठी नवीन आवृत्ती जारी करत आहे.
जावासाठी अत्यंत लोकप्रिय लायब्ररीमधील असुरक्षा जागतिक IT लँडस्केपला हादरवून टाकत आहे. बहुतेक कॉर्पोरेट वातावरणात लायब्ररी अस्तित्वात असल्याचा अंदाज आहे.
Log4j मुख्यतः लॉगिंगसाठी वापरला जातो. अॅप्लिकेशनमधील इव्हेंट्स नोट्ससह नोंदवता येतात. लॉगिन प्रयत्नानंतर लॉगिन तपशीलांच्या प्रिंटआउटचा विचार करा. किंवा, Java मधील वेब ऍप्लिकेशनच्या बाबतीत, वापरकर्ता कनेक्ट करण्याचा प्रयत्न करत असलेल्या ब्राउझरचे नाव.
नंतरची उदाहरणे सामान्य आहेत. दोन्ही प्रकरणांमध्ये, बाह्य वापरकर्ता Log4j आउटपुट करत असलेल्या लॉगवर प्रभाव टाकतो. त्या प्रभावाचा गैरवापर करणे शक्य आहे. 4 सप्टेंबर 13 आणि 2013 डिसेंबर 5 दरम्यानच्या कोणत्याही Log2021j आवृत्तीचे लॉग Java ऍप्लिकेशन्सना स्थानिक डिव्हाइसवर रिमोट सर्व्हरवरून कोड चालवण्यास सूचित करू शकतात.
2013 पासून, Log4j API वर प्रक्रिया करत आहे: JNDI, किंवा Java नेमिंग आणि निर्देशिका इंटरफेस. JNDI ची जोडणी Java ऍप्लिकेशनला स्थानिक डिव्हाइसवर रिमोट सर्व्हरवरून कोड चालविण्यास अनुमती देते. प्रोग्रामर अनुप्रयोगामध्ये रिमोट सर्व्हरबद्दल तपशीलांची एक ओळ जोडून सूचना देतात.
समस्या अशी आहे की केवळ प्रोग्रामर अनुप्रयोगांमध्ये नियम जोडण्यास सक्षम नाहीत. समजा Log4j लॉगिन प्रयत्नांची वापरकर्तानावे लॉग करते. जेव्हा कोणी उपरोक्त ओळ वापरकर्तानाव फील्डमध्ये प्रविष्ट करते, तेव्हा Log4j ओळ चालवते आणि Java ऍप्लिकेशन निर्दिष्ट सर्व्हरवर कोड रन करण्यासाठी कमांडचा अर्थ लावतो. Log4j HTTPS विनंती लॉग करते अशा प्रकरणांसाठीही हेच आहे. तुम्ही ब्राउझरचे नाव ओळीत बदलल्यास, Log4j लाईन चालवते, अप्रत्यक्षपणे इच्छेनुसार कोड चालवण्याची सूचना देते.
आपत्कालीन पॅच देखील असुरक्षित असू शकतो
9 डिसेंबर रोजी ही अगतिकता मोठ्या प्रमाणावर समोर आली. Log4j च्या विकसक, Apache Software Foundation ने असुरक्षा दूर करण्यासाठी आपत्कालीन पॅच (2.15) जारी केला. तेव्हापासून, सॉफ्टवेअर विक्रेत्यांसाठी आवृत्ती 2.15 वर प्रक्रिया करणे आणि संस्थांसाठी पॅच प्रदान करणे हे सर्वोच्च प्राधान्य आहे.
तथापि, सुरक्षा संस्था LunaSec म्हणते की पॅच पूर्णपणे जलरोधक नाही. सेटिंग समायोजित करणे आणि लॉग इन JNDI कमांड कार्यान्वित करणे शक्य आहे.
कृपया लक्षात ठेवा: संबंधित सेटिंग व्यक्तिचलितपणे समायोजित करणे आवश्यक आहे, जेणेकरून 2.15 चे बदल न केलेले प्रकार खरोखर सुरक्षित असतील. तरीसुद्धा, Luna Sec शिफारस करतो की पुरवठादार आणि संस्था Log4j 2.16 वर अपडेट करतात. LunaSec ला प्रतिसाद म्हणून Apache Software Foundation द्वारे 2.16 प्रकाशित केले गेले. नवीन आवृत्ती असुरक्षित सेटिंग पूर्णपणे काढून टाकते, ज्यामुळे गैरवर्तनासाठी परिस्थिती निर्माण करणे अशक्य होते.