Java लायब्ररी Log4j मधील कुप्रसिद्ध असुरक्षिततेचा प्रभाव पुढे येतो. तातडीच्या पॅच 2.16 सह सर्वात मोठी समस्या सोडवली गेली असली तरी, ही आवृत्ती देखील गैरवर्तनास संवेदनाक्षम असल्याचे दिसते. सुरक्षा संशोधकांना सेवा नकार (DoS) हल्ल्यांसाठी प्रवेशद्वार सापडला. प्रवेश बंद करण्यासाठी Log4j 2.17 प्रकाशित केले आहे.
Apache, Java लायब्ररीचे विकसक, संस्थांना आपत्कालीन पॅच लागू करण्याचा सल्ला देते. लायब्ररी असुरक्षित असल्याचे आढळल्याने हा सल्ला तिसऱ्यांदा लागू होतो.
दीड आठवड्यापूर्वी, अलिबाबाच्या सुरक्षा अभ्यासकांनी cloud सुरक्षा टीमने Log4j सह अॅप्लिकेशन्सचा गैरवापर करण्याची पद्धत उघड केली. Log4j चा वापर इव्हेंट लॉग करण्यासाठी ऍप्लिकेशनमध्ये केला जातो. मालवेअर कार्यान्वित करण्याच्या सूचनांसह बाहेरून लायब्ररीसह अनुप्रयोगांमध्ये प्रवेश करणे शक्य असल्याचे दिसून आले. गैरवर्तन एका स्नॅपपेक्षा थोडेसे जास्त घेते. बहुतेक कॉर्पोरेट वातावरणात लायब्ररीची अंदाजे घटना जोडा आणि जागतिक IT लँडस्केपला तोंड देत असलेल्या आपत्तीचे प्रमाण तुम्हाला समजते.
Fortinet, Cisco, IBM आणि इतर डझनभर सॉफ्टवेअर डेव्हलपर त्यांच्या सॉफ्टवेअरमध्ये लायब्ररी वापरतात. त्यांच्या डेव्हलपर्सनी असुरक्षिततेसाठी पहिल्या आणीबाणीच्या पॅचवर प्रक्रिया करण्यासाठी आणि ते वापरकर्ता संस्थांपर्यंत पोहोचवण्यासाठी 11 डिसेंबरच्या आठवड्याच्या शेवटी ओव्हरटाइम काम केले. या संस्थांमधील आयटी संघांकडून नेमका हाच प्रवाह अपेक्षित होता. जगभरात लाखो हल्ल्याचे प्रयत्न झाले. प्रत्येकाला शक्य तितक्या लवकर 2.15 वर स्विच करावे लागले - जोपर्यंत 2.15 देखील असुरक्षित असल्याचे आढळले नाही.
आवृत्ती २.१५ मध्ये लायब्ररीचे काही कॉन्फिगरेशन शक्य राहिले. या कॉन्फिगरेशनचा वापर करून असुरक्षा कायम ठेवली. आवृत्ती 2.15 ने नवीन पॅचची हमी देऊन कॉन्फिगरेशन अशक्य केले. बर्याचदा आधीच जास्त काम करणार्या आयटी संघांच्या चिडण्याला. तथापि, हे नेहमीच वाईट असू शकते, कारण 2.16 मध्ये देखील एक आजार आहे.
सुरू करण्यासाठी परत
या समस्येकडे मोठ्या प्रमाणावर जागतिक लक्ष वेधून घेतल्याने जगभरात मोठ्या प्रमाणावर तपासणी करण्यात आली. अपाचे, लायब्ररीचा विकासक, सुरक्षा कंपनीने एक नवीन, दाबणारी समस्या दर्शविल्याशिवाय दोन दिवस आपला श्वास पकडू शकत नाही.
थोडक्यात, असे दिसून आले की log4j च्या डझनभर आवृत्त्या – 2.16 सह – एका ओळीने (स्ट्रिंग) चालवणे शक्य आहे ज्यामुळे ऍप्लिकेशन क्रॅश होईल. गैरवापर होण्यासाठी वातावरणाने ज्या अटी पूर्ण केल्या पाहिजेत त्या व्यापक आहेत. इतके विस्तृत की समस्येचे व्यावहारिक गांभीर्य विवादित आहे. पॅचची अधिकृतपणे शिफारस केली जाते, परंतु प्रत्येकाला खात्री पटली नाही.
पुन्हा, Log4j ची प्रत्येक घटना असुरक्षित नसते, परंतु केवळ अशा प्रकरणांमध्ये जेव्हा लायब्ररी सानुकूल सेटिंग्जवर चालू असते. संभाव्य आक्रमणकर्त्याला Log4j कसे कार्य करते याबद्दल तपशीलवार अंतर्दृष्टी देखील आवश्यक आहे. प्रारंभिक, सहज प्रवेश करण्यायोग्य भेद्यतेचा विरोधाभास.