जाभा लाइब्रेरी Log4j मा कुख्यात जोखिम को प्रभाव मा तानिन्छ। यद्यपि सबैभन्दा ठूलो समस्या तत्काल प्याच 2.16 बाट हल गरिएको थियो, यो संस्करण पनि दुरुपयोगको लागि संवेदनशील देखिन्छ। सुरक्षा अनुसन्धानकर्ताहरूले सेवा अस्वीकार (DoS) आक्रमणहरूको लागि प्रवेशद्वार भेट्टाए। Log4j 2.17 प्रविष्टि बन्द गर्न प्रकाशित गरिएको छ।
Apache, जाभा पुस्तकालयको विकासकर्ता, संगठनहरूलाई आपतकालीन प्याच लागू गर्न सल्लाह दिन्छ। पुस्तकालय कमजोर भएको पाइएपछि त्यो सल्लाह तेस्रो पटक लागू हुन्छ।
डेढ साताअघि अलिबाबाका सुरक्षा अनुसन्धानकर्ताहरूले cloud सुरक्षा टोलीले Log4j सँग अनुप्रयोगहरू दुरुपयोग गर्ने तरिका पत्ता लगायो। Log4j घटनाहरू लग गर्न अनुप्रयोगहरूमा प्रयोग गरिन्छ। यो मालवेयर कार्यान्वयनको लागि निर्देशनहरूको साथ बाहिरबाट पुस्तकालयको साथ अनुप्रयोगहरू पहुँच गर्न सम्भव भयो। दुरुपयोग एक स्न्याप भन्दा अलि बढी लिन्छ। त्यसमा धेरै कर्पोरेट वातावरणमा पुस्तकालयको अनुमानित घटना थप्नुहोस् र तपाईले विश्वव्यापी IT परिदृश्य सामना गरिरहेको प्रकोपको मापन बुझ्नुहुन्छ।
Fortinet, Cisco, IBM र दर्जनौं अन्य जस्ता सफ्टवेयर विकासकर्ताहरूले उनीहरूको सफ्टवेयरमा पुस्तकालय प्रयोग गर्छन्। तिनीहरूका विकासकर्ताहरूले कमजोरीको लागि पहिलो आपतकालीन प्याच प्रशोधन गर्न र प्रयोगकर्ता संगठनहरूमा डेलिभर गर्न सप्ताहन्त डिसेम्बर 11 मा ओभरटाइम काम गरे। ठ्याक्कै उही बहाव यी संगठनहरू भित्र आईटी टोलीहरूबाट अपेक्षा गरिएको थियो। विश्वभरि सयौं हजारौं आक्रमण प्रयासहरू भए। सबैले सकेसम्म चाँडो 2.15 मा स्विच गर्नुपर्यो - जब सम्म 2.15 लाई पनि कमजोर भएको पाइएन।
पुस्तकालयको निश्चित कन्फिगरेसन संस्करण २.१५ मा सम्भव रह्यो। यी कन्फिगरेसनहरू प्रयोग गरेर जोखिमलाई स्थायी बनायो। संस्करण 2.15 ले कन्फिगरेसनहरूलाई असम्भव बनायो, नयाँ प्याचको ग्यारेन्टी गर्दै। प्राय: पहिले नै ओभरवर्क गरिएको आईटी टोलीहरूको चिन्तामा। यद्यपि, यो सधैं खराब हुन सक्छ, किनभने 2.16 मा पनि एक रोग छ।
सुरु गर्न फर्कनुहोस्
समस्यामा व्यापक विश्वव्यापी ध्यानले ठूलो विश्वव्यापी अनुसन्धानलाई प्रेरित गर्यो। Apache, पुस्तकालयको विकासकर्ता, सुरक्षा कम्पनीले नयाँ, दबाब समस्या औंल्याए बिना दुई दिनसम्म उनको सास फेर्न सक्दैन।
छोटकरीमा, यो पत्ता लगाउँछ कि यो log4j को दर्जनौं संस्करणहरू चलाउन सम्भव छ - 2.16 सहित - एउटा लाइन (स्ट्रिङ) संग एउटा अनन्त लुप सुरु गर्न जुन अनुप्रयोग क्र्यास हुन्छ। दुरुपयोग हुनको लागि वातावरणले पूरा गर्नुपर्ने अवस्थाहरू व्यापक छन्। यति व्यापक छ कि समस्याको व्यावहारिक गम्भीरता विवादित छ। प्याच आधिकारिक रूपमा सिफारिस गरिएको छ, तर सबैजना विश्वस्त छैनन्।
फेरि, Log4j को प्रत्येक उदाहरण कमजोर छैन, तर केवल केसहरू जहाँ पुस्तकालय अनुकूलन सेटिङहरूमा चलिरहेको छ। एक सम्भावित आक्रमणकारीलाई Log4j कसरी काम गर्दछ भन्ने बारे विस्तृत जानकारी चाहिन्छ। प्रारम्भिक, सजिलै पहुँचयोग्य जोखिमको विपरीत।