Java लाइब्रेरी Log4j मा कुख्यात जोखिमको लागि आपतकालीन प्याच मूर्ख छैन। Apache Software Foundation ले एकै पटक र सबैको लागि कमजोरी फिक्स गर्न नयाँ संस्करण जारी गर्दैछ।
जाभाको लागि जंगली रूपमा लोकप्रिय पुस्तकालयमा एउटा जोखिमले विश्वव्यापी आईटी परिदृश्यलाई हल्लाइरहेको छ। यो पुस्तकालय धेरै कर्पोरेट वातावरण मा अवस्थित छ कि अनुमान गरिएको छ।
Log4j मुख्यतया लगिङ को लागी प्रयोग गरिन्छ। अनुप्रयोगहरूमा घटनाहरू नोटहरू दर्ता गर्न सकिन्छ। लगइन प्रयास पछि लगइन विवरणहरूको प्रिन्टआउटको बारेमा सोच्नुहोस्। वा, जाभामा वेब अनुप्रयोगको मामलामा, प्रयोगकर्ताले जडान गर्न प्रयास गरिरहेको ब्राउजरको नाम।
पछिल्लो उदाहरणहरू सामान्य छन्। दुबै अवस्थामा, बाह्य प्रयोगकर्ताले लगलाई प्रभाव पार्छ जुन Log4j आउटपुट हुन्छ। त्यो प्रभावको दुरुपयोग गर्न सम्भव छ। सेप्टेम्बर 4, 13 र डिसेम्बर 2013, 5 बीचको कुनै पनि Log2021j संस्करणको लगहरूले जाभा अनुप्रयोगहरूलाई स्थानीय उपकरणमा रिमोट सर्भरबाट कोड चलाउन निर्देशन दिन सक्षम छन्।
2013 देखि, Log4j ले API: JNDI, वा Java नेमिङ र डाइरेक्टरी इन्टरफेस प्रशोधन गरिरहेको छ। JNDI को थपले जाभा अनुप्रयोगलाई स्थानीय उपकरणमा रिमोट सर्भरबाट कोड चलाउन अनुमति दिन्छ। प्रोग्रामरहरूले अनुप्रयोगमा रिमोट सर्भरको बारेमा विवरणहरूको एकल लाइन थपेर निर्देशन दिन्छन्।
समस्या यो हो कि प्रोग्रामरहरूले मात्र अनुप्रयोगहरूमा नियम थप्न सक्षम छैनन्। मानौं Log4j ले लगइन प्रयासहरूको प्रयोगकर्ता नामहरू लग गर्छ। जब कसैले प्रयोगकर्ता नाम फिल्डमा माथि उल्लिखित रेखा प्रविष्ट गर्दछ, Log4j ले लाइन चलाउँछ र Java अनुप्रयोगले निर्दिष्ट सर्भरमा कोड चलाउन आदेशलाई व्याख्या गर्दछ। उही केसहरूमा जान्छ जहाँ Log4j ले HTTPS अनुरोध लगाउँछ। यदि तपाईंले ब्राउजरको नामलाई लाइनमा परिवर्तन गर्नुभयो भने, Log4j लाई अप्रत्यक्ष रूपमा कोड चलाउन निर्देशन दिँदै लाइन चलाउँछ।
आपतकालीन प्याच पनि असुरक्षित हुन सक्छ
डिसेम्बर 9 मा, जोखिम ठूलो मात्रामा प्रकाशमा आयो। Apache Software Foundation, Log4j को विकासकर्ताले जोखिमलाई ठीक गर्नको लागि आपतकालीन प्याच (2.15) जारी गर्यो। त्यसबेलादेखि, यो सफ्टवेयर विक्रेताहरूको लागि संस्करण 2.15 प्रशोधन गर्न र संगठनहरूको लागि प्याच प्रदान गर्नको लागि उच्च प्राथमिकता भएको छ।
यद्यपि, सुरक्षा संगठन लुनासेकले प्याच पूर्ण रूपमा वाटरटाइट नभएको बताएको छ। यो सेटिङ समायोजन गर्न र JNDI आदेशहरू कार्यान्वयन गर्न लग इन गर्न सम्भव छ।
कृपया ध्यान दिनुहोस्: सान्दर्भिक सेटिङहरू म्यानुअल रूपमा समायोजन गरिनु पर्छ, ताकि 2.15 को अपरिवर्तित संस्करणहरू वास्तवमै सुरक्षित छन्। यद्यपि, Luna Sec सिफारिस गर्दछ कि आपूर्तिकर्ता र संगठनहरू Log4j 2.16 मा अद्यावधिक गर्नुहोस्। 2.16 Apache Software Foundation द्वारा LunaSec को प्रतिक्रियामा प्रकाशित गरिएको थियो। नयाँ संस्करणले दुर्व्यवहारको लागि सर्तहरू सिर्जना गर्न असम्भव बनाउँदै, कमजोर सेटिङहरू पूर्ण रूपमा हटाउँछ।