جاوا لائبريري Log4j ۾ بدنام نقصان جي لاءِ ايمرجنسي پيچ بيوقوف ناهي. Apache Software Foundation هڪ نئون ورزن جاري ڪري رهيو آهي هڪ ڀيرو ۽ سڀني لاءِ خطري کي درست ڪرڻ لاءِ.
جاوا لاءِ جهنگلي مشهور لائبريري ۾ هڪ ڪمزوري عالمي آئي ٽي منظرنامي کي ڇڪي رهي آهي. اهو اندازو آهي ته لائبريري اڪثر ڪارپوريٽ ماحول ۾ موجود آهي.
Log4j خاص طور تي لاگنگ لاء استعمال ڪيو ويندو آهي. ايپليڪيشنن ۾ واقعا نوٽس سان رجسٽر ٿي سگھن ٿا. لاگ ان جي ڪوشش کان پوءِ لاگ ان تفصيلن جي پرنٽ آئوٽ جي باري ۾ سوچيو. يا، جاوا ۾ ويب ايپليڪيشن جي صورت ۾، برائوزر جو نالو جيڪو صارف ڳنڍڻ جي ڪوشش ڪري رهيو آهي.
پوئين مثال عام آهن. ٻنهي صورتن ۾، هڪ خارجي صارف لاگ ان تي اثر انداز ٿئي ٿو جيڪو Log4j آئوٽ ڪري ٿو. اهو ممڪن آهي ته ان اثر کي غلط استعمال ڪيو وڃي. 4 سيپٽمبر 13 ۽ ڊسمبر 2013، 5 جي وچ ۾ ڪنهن به Log2021j ورجن جا لاگز جاوا ايپليڪيشنز کي هدايت ڪري سگھن ٿا ته ڪوڊ کي مقامي ڊوائيس تي ريموٽ سرور کان هلائڻ لاءِ.
2013 کان وٺي، Log4j پروسيس ڪري رهيو آهي هڪ API: JNDI، يا Java Naming and Directory Interface. JNDI جو اضافو جاوا ايپليڪيشن کي مقامي ڊوائيس تي ريموٽ سرور کان ڪوڊ هلائڻ جي اجازت ڏئي ٿو. پروگرامرز هڪ ايپليڪيشن ۾ ريموٽ سرور بابت تفصيلن جي هڪ لائن شامل ڪندي هدايت ڪن ٿا.
مسئلو اهو آهي ته نه رڳو پروگرامر قاعدن کي ايپليڪيشنن ۾ شامل ڪرڻ جي قابل آهن. فرض ڪريو Log4j لاگ ان جي ڪوششن جي صارفين جا نالا لاگ ان ڪري ٿو. جڏهن ڪو ماڻهو صارف نام جي فيلڊ ۾ مٿي ڄاڻايل لائن داخل ڪري ٿو، Log4j لائن کي هلائي ٿو ۽ جاوا ايپليڪيشن مخصوص سرور تي ڪوڊ هلائڻ لاء هڪ حڪم جي وضاحت ڪري ٿو. ساڳيو ئي ڪيسن لاءِ وڃي ٿو جتي Log4j لاگ ان ٿئي ٿو HTTPS درخواست. جيڪڏھن توھان ھڪڙي برائوزر جو نالو تبديل ڪريو ٿا لائن ۾، Log4j لائن کي ھلائي ٿو، اڻ سڌي طرح ان کي ھدايت ڪري ٿو ته ڪوڊ کي ھلائڻ لاء.
هنگامي پيچ پڻ غير محفوظ ٿي سگهي ٿو
9 ڊسمبر تي وڏي پئماني تي خطرا سامهون آيا. Apache Software Foundation، Log4j جو ڊولپر، جاري ڪيو ايمرجنسي پيچ (2.15) خطري کي درست ڪرڻ لاءِ. ان وقت کان وٺي، سافٽ ويئر وينڊرز لاءِ ورزن 2.15 تي عمل ڪرڻ ۽ تنظيمن لاءِ پيچ مهيا ڪرڻ لاءِ اها اولين ترجيح رهي آهي.
بهرحال، سيڪيورٽي تنظيم LunaSec چوي ٿو ته پيچ مڪمل طور تي واٽر ٽائيٽ نه آهي. اهو ممڪن آهي ته هڪ سيٽنگ کي ترتيب ڏيڻ ۽ لاگ ان ٿيڻ لاء JNDI حڪمن تي عمل ڪيو وڃي.
مهرباني ڪري نوٽ ڪريو: لاڳاپيل سيٽنگ کي دستي طور تي ترتيب ڏيڻ گهرجي، انهي ڪري ته 2.15 جا اڻ سڌريل مختلف قسمون محفوظ آهن. ان جي باوجود، لونا سيڪ سفارش ڪري ٿو ته سپلائرز ۽ تنظيمون Log4j 2.16 تي تازه ڪاري ڪن. 2.16 اپاچي سافٽ ويئر فائونڊيشن پاران شايع ڪيو ويو LunaSec جي جواب ۾. نئون نسخو مڪمل طور تي نقصانڪار سيٽنگ کي ختم ڪري ٿو، ان کي غلط استعمال لاء حالتون پيدا ڪرڻ ناممڪن بڻائي ٿو.