Java ਲਾਇਬ੍ਰੇਰੀ Log4j ਵਿੱਚ ਬਦਨਾਮ ਕਮਜ਼ੋਰੀ ਦਾ ਪ੍ਰਭਾਵ ਖਿੱਚਦਾ ਹੈ। ਹਾਲਾਂਕਿ ਸਭ ਤੋਂ ਵੱਡੀ ਸਮੱਸਿਆ ਨੂੰ ਜ਼ਰੂਰੀ ਪੈਚ 2.16 ਨਾਲ ਹੱਲ ਕੀਤਾ ਗਿਆ ਸੀ, ਇਹ ਸੰਸਕਰਣ ਵੀ ਦੁਰਵਿਵਹਾਰ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਪਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ (DoS) ਹਮਲਿਆਂ ਲਈ ਇੱਕ ਪ੍ਰਵੇਸ਼ ਦੁਆਰ ਮਿਲਿਆ। ਇੰਦਰਾਜ਼ ਨੂੰ ਬੰਦ ਕਰਨ ਲਈ Log4j 2.17 ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ।
ਅਪਾਚੇ, ਜਾਵਾ ਲਾਇਬ੍ਰੇਰੀ ਦਾ ਡਿਵੈਲਪਰ, ਸੰਗਠਨਾਂ ਨੂੰ ਐਮਰਜੈਂਸੀ ਪੈਚ ਲਾਗੂ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੰਦਾ ਹੈ। ਇਹ ਸਲਾਹ ਤੀਜੀ ਵਾਰ ਲਾਗੂ ਹੁੰਦੀ ਹੈ ਕਿਉਂਕਿ ਲਾਇਬ੍ਰੇਰੀ ਨੂੰ ਕਮਜ਼ੋਰ ਪਾਇਆ ਗਿਆ ਸੀ।
ਡੇਢ ਹਫ਼ਤਾ ਪਹਿਲਾਂ, ਅਲੀਬਾਬਾ ਦੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ cloud ਸੁਰੱਖਿਆ ਟੀਮ ਨੇ Log4j ਨਾਲ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਨ ਦਾ ਤਰੀਕਾ ਦੱਸਿਆ। Log4j ਦੀ ਵਰਤੋਂ ਇਵੈਂਟਾਂ ਨੂੰ ਲੌਗ ਕਰਨ ਲਈ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ ਚਲਾਉਣ ਲਈ ਹਦਾਇਤਾਂ ਦੇ ਨਾਲ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਨਾਲ ਬਾਹਰੋਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨਾ ਸੰਭਵ ਹੋਇਆ। ਦੁਰਵਿਵਹਾਰ ਇੱਕ ਚੁਟਕੀ ਤੋਂ ਥੋੜ੍ਹਾ ਵੱਧ ਲੈਂਦਾ ਹੈ। ਜ਼ਿਆਦਾਤਰ ਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਅਨੁਮਾਨਿਤ ਮੌਜੂਦਗੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰੋ ਅਤੇ ਤੁਸੀਂ ਗਲੋਬਲ ਆਈਟੀ ਲੈਂਡਸਕੇਪ ਦਾ ਸਾਹਮਣਾ ਕਰ ਰਹੀ ਤਬਾਹੀ ਦੇ ਪੈਮਾਨੇ ਨੂੰ ਸਮਝਦੇ ਹੋ।
ਸਾਫਟਵੇਅਰ ਡਿਵੈਲਪਰ ਜਿਵੇਂ ਕਿ Fortinet, Cisco, IBM ਅਤੇ ਦਰਜਨਾਂ ਹੋਰ ਆਪਣੇ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਉਹਨਾਂ ਦੇ ਡਿਵੈਲਪਰਾਂ ਨੇ ਕਮਜ਼ੋਰੀ ਲਈ ਪਹਿਲੇ ਐਮਰਜੈਂਸੀ ਪੈਚ ਦੀ ਪ੍ਰਕਿਰਿਆ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਉਪਭੋਗਤਾ ਸੰਸਥਾਵਾਂ ਤੱਕ ਪਹੁੰਚਾਉਣ ਲਈ ਦਸੰਬਰ 11 ਦੇ ਹਫਤੇ ਦੇ ਅੰਤ ਵਿੱਚ ਓਵਰਟਾਈਮ ਕੰਮ ਕੀਤਾ। ਇਹਨਾਂ ਸੰਸਥਾਵਾਂ ਦੇ ਅੰਦਰ ਆਈ ਟੀ ਟੀਮਾਂ ਤੋਂ ਬਿਲਕੁਲ ਉਸੇ ਤਰ੍ਹਾਂ ਦੇ ਵਹਿਣ ਦੀ ਉਮੀਦ ਕੀਤੀ ਗਈ ਸੀ। ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਸੈਂਕੜੇ ਹਜ਼ਾਰਾਂ ਹਮਲਿਆਂ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਹੋਈਆਂ। ਹਰ ਕਿਸੇ ਨੂੰ ਜਿੰਨੀ ਜਲਦੀ ਹੋ ਸਕੇ 2.15 'ਤੇ ਸਵਿਚ ਕਰਨਾ ਪਿਆ - ਜਦੋਂ ਤੱਕ 2.15 ਨੂੰ ਵੀ ਕਮਜ਼ੋਰ ਨਹੀਂ ਪਾਇਆ ਗਿਆ।
ਲਾਇਬ੍ਰੇਰੀ ਦੀਆਂ ਕੁਝ ਸੰਰਚਨਾਵਾਂ ਸੰਸਕਰਣ 2.15 ਵਿੱਚ ਸੰਭਵ ਰਹੀਆਂ। ਇਹਨਾਂ ਸੰਰਚਨਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਮਜ਼ੋਰੀ ਨੂੰ ਕਾਇਮ ਰੱਖਿਆ। ਸੰਸਕਰਣ 2.16 ਨੇ ਇੱਕ ਨਵੇਂ ਪੈਚ ਦੀ ਗਾਰੰਟੀ ਦਿੰਦੇ ਹੋਏ, ਸੰਰਚਨਾ ਨੂੰ ਅਸੰਭਵ ਬਣਾ ਦਿੱਤਾ ਹੈ। ਅਕਸਰ ਪਹਿਲਾਂ ਤੋਂ ਜ਼ਿਆਦਾ ਕੰਮ ਕਰ ਚੁੱਕੀਆਂ ਆਈਟੀ ਟੀਮਾਂ ਦੀ ਪਰੇਸ਼ਾਨੀ ਲਈ. ਹਾਲਾਂਕਿ, ਇਹ ਹਮੇਸ਼ਾਂ ਬਦਤਰ ਹੋ ਸਕਦਾ ਹੈ, ਕਿਉਂਕਿ 2.16 ਵਿੱਚ ਵੀ ਇੱਕ ਬਿਮਾਰੀ ਹੈ.
ਵਾਪਸ ਸ਼ੁਰੂ ਕਰਨ ਲਈ
ਸਮੱਸਿਆ ਵੱਲ ਵਿਆਪਕ ਵਿਸ਼ਵਵਿਆਪੀ ਧਿਆਨ ਨੇ ਵਿਆਪਕ ਵਿਸ਼ਵਵਿਆਪੀ ਜਾਂਚ ਲਈ ਪ੍ਰੇਰਿਤ ਕੀਤਾ। ਅਪਾਚੇ, ਲਾਇਬ੍ਰੇਰੀ ਦਾ ਡਿਵੈਲਪਰ, ਇੱਕ ਸੁਰੱਖਿਆ ਕੰਪਨੀ ਦੁਆਰਾ ਇੱਕ ਨਵੀਂ, ਦਬਾਉਣ ਵਾਲੀ ਸਮੱਸਿਆ ਵੱਲ ਇਸ਼ਾਰਾ ਕੀਤੇ ਬਿਨਾਂ ਦੋ ਦਿਨਾਂ ਲਈ ਆਪਣਾ ਸਾਹ ਨਹੀਂ ਫੜ ਸਕਦਾ।
ਸੰਖੇਪ ਰੂਪ ਵਿੱਚ, ਇਹ ਪਤਾ ਚਲਦਾ ਹੈ ਕਿ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਕ੍ਰੈਸ਼ ਕਰਨ ਵਾਲੇ ਇੱਕ ਸਦੀਵੀ ਲੂਪ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਇੱਕ ਲਾਈਨ (ਸਟਰਿੰਗ) ਦੇ ਨਾਲ - 4 ਸਮੇਤ - log2.16j ਦੇ ਦਰਜਨਾਂ ਸੰਸਕਰਣਾਂ ਨੂੰ ਚਲਾਉਣਾ ਸੰਭਵ ਹੈ। ਦੁਰਵਿਵਹਾਰ ਕਰਨ ਲਈ ਵਾਤਾਵਰਣ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ ਲੋੜੀਂਦੀਆਂ ਸ਼ਰਤਾਂ ਵਿਆਪਕ ਹਨ। ਇੰਨਾ ਵਿਆਪਕ ਹੈ ਕਿ ਸਮੱਸਿਆ ਦੀ ਵਿਹਾਰਕ ਗੰਭੀਰਤਾ ਵਿਵਾਦਗ੍ਰਸਤ ਹੈ। ਪੈਚ ਦੀ ਅਧਿਕਾਰਤ ਤੌਰ 'ਤੇ ਸਿਫ਼ਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਪਰ ਹਰ ਕੋਈ ਇਸ 'ਤੇ ਯਕੀਨ ਨਹੀਂ ਕਰਦਾ।
ਦੁਬਾਰਾ ਫਿਰ, Log4j ਦੀ ਹਰ ਉਦਾਹਰਨ ਕਮਜ਼ੋਰ ਨਹੀਂ ਹੈ, ਪਰ ਸਿਰਫ਼ ਅਜਿਹੇ ਕੇਸ ਜਿੱਥੇ ਲਾਇਬ੍ਰੇਰੀ ਕਸਟਮ ਸੈਟਿੰਗਾਂ 'ਤੇ ਚੱਲ ਰਹੀ ਹੈ। ਇੱਕ ਸੰਭਾਵੀ ਹਮਲਾਵਰ ਨੂੰ ਇਸ ਬਾਰੇ ਵਿਸਤ੍ਰਿਤ ਜਾਣਕਾਰੀ ਦੀ ਵੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਕਿ Log4j ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਸ਼ੁਰੂਆਤੀ, ਆਸਾਨੀ ਨਾਲ ਪਹੁੰਚਯੋਗ ਕਮਜ਼ੋਰੀ ਦੇ ਉਲਟ।