جاوا لائبريري Log4j ۾ بدنام نقصان جو اثر ڇڪي ٿو. جيتوڻيڪ سڀ کان وڏو مسئلو تڪڙو پيچ 2.16 سان حل ڪيو ويو، اهو نسخو پڻ ظاهر ٿئي ٿو ته غلط استعمال لاء حساس آهي. سيڪيورٽي محققن کي خدمت جي انڪار (DoS) حملن لاءِ داخلا ملي. داخلا بند ڪرڻ لاءِ Log4j 2.17 شايع ڪيو ويو آهي.
Apache، جاوا لائبريري جي ڊولپر، تنظيمن کي مشورو ڏئي ٿو ايمرجنسي پيچ کي لاڳو ڪرڻ لاء. اها صلاح ٽيون ڀيرو لاڳو ٿئي ٿي جڏهن کان لائبريري کي ڪمزور محسوس ڪيو ويو.
هڪ هفتي ۽ اڌ اڳ، سيڪيورٽي محقق علي بابا جي cloud سيڪيورٽي ٽيم Log4j سان ايپليڪيشنن کي غلط استعمال ڪرڻ جو طريقو ظاهر ڪيو. Log4j ايپليڪيشنن ۾ واقعن کي لاگ ان ڪرڻ لاءِ استعمال ڪيو ويندو آهي. اهو ممڪن ٿيو ته لائبريري سان ايپليڪيشنن تائين رسائي حاصل ڪرڻ لاءِ ٻاهران هدايتون سان گڏ مالويئر کي هلائڻ لاءِ. بدسلوڪي هڪ تصوير کان ٿورو وڌيڪ وٺندو آهي. ان ۾ شامل ڪريو لائبرري جي اڪثر ڪارپوريٽ ماحول ۾ اندازي مطابق واقعا ۽ توھان سمجھو ٿا آفت جي پيماني کي جيڪو عالمي آئي ٽي منظرنامي کي منهن ڏئي رھيو آھي.
سافٽ ويئر ڊولپرز جهڙوڪ Fortinet، Cisco، IBM ۽ ٻيا درجنين پنهنجي سافٽ ويئر ۾ لائبريري استعمال ڪندا آهن. انهن جي ڊولپرز 11 ڊسمبر جي هفتي جي آخر ۾ اوور ٽائيم ڪم ڪيو ته جيئن پهرين ايمرجنسي پيچ تي عمل ڪيو وڃي ۽ ان کي صارف تنظيمن تائين پهچايو. انهن تنظيمن جي اندر آئي ٽي ٽيمن کان بلڪل ساڳي ئي وهڪري جي توقع ڪئي وئي هئي. سڄي دنيا ۾ هزارين حملن جون ڪوششون ٿيون. هر ڪنهن کي جلد کان جلد 2.15 تي سوئچ ڪرڻو پوندو - جيستائين 2.15 کي به ڪمزور ٿيڻو پيو.
لائبريريءَ جون ڪجهه ترتيبون نسخو 2.15 ۾ ممڪن رهيون. انهن ترتيبن کي استعمال ڪندي نقصان کي برقرار رکيو. نسخو 2.16 ترتيبن کي ناممڪن بڻايو، نئين پيچ جي ضمانت. گهڻو ڪري اڳ ۾ ئي وڌيڪ ڪم ڪندڙ آئي ٽي ٽيمن جي پريشاني ڏانهن. بهرحال، اهو هميشه خراب ٿي سگهي ٿو، ڇاڪاڻ ته 2.16 پڻ هڪ بيماري آهي.
واپس شروع ڪرڻ لاء
مسئلي تي وڏي عالمي توجه وڏي پئماني تي سڄي دنيا جي تحقيقات کي وڌايو. Apache، لائبريري جو ڊولپر، لڳي نٿو سگهي ته سندس سانس ٻن ڏينهن تائين پڪڙي سگهي ٿي بغير ڪنهن سيڪيورٽي ڪمپني جي هڪ نئين، دٻائڻ واري مسئلي کي اشارو ڪندي.
مختصر ۾، اهو ظاهر ٿئي ٿو ته اهو ممڪن آهي ته log4j جي ڪيترن ئي نسخن کي هلائڻ ممڪن آهي - بشمول 2.16 - هڪ لائين (اسٽرنگ) سان هڪ دائمي لوپ شروع ڪرڻ لاء جيڪو ايپليڪيشن کي تباهه ڪري ٿو. اهي حالتون جيڪي هڪ ماحول کي پورا ڪرڻ گهرجن ته جيئن بدسلوڪي ڪئي وڃي. ايتري ته وسيع آهي جو مسئلي جي عملي سنجيدگيءَ تي اختلاف آهي. پيچ سرڪاري طور تي سفارش ڪئي وئي آهي، پر هرڪو قائل ناهي.
ٻيهر، Log4j جو هر مثال خطرناڪ ناهي، پر صرف ڪيس جتي لائبريري ڪسٽم سيٽنگن تي هلندڙ آهي. هڪ امڪاني حملي آور کي پڻ تفصيلي بصيرت جي ضرورت آهي ته ڪيئن Log4j ڪم ڪري ٿو. هڪ برعڪس ابتدائي، آساني سان پهچندڙ خطري جي.