ජාවා පුස්තකාලය Log4j හි කුප්රකට දුර්වලතාවයේ බලපෑම ඇදගෙන යයි. හදිසි පැච් 2.16 සමඟ විශාලතම ගැටළුව විසඳා ඇතත්, මෙම අනුවාදයද අපයෝජනයට ගොදුරු විය හැකි බව පෙනේ. ආරක්ෂක පර්යේෂකයන් සේවා ප්රතික්ෂේප කිරීම (DoS) ප්රහාර සඳහා පිවිසුමක් සොයා ගත්හ. ඇතුල්වීම වැසීමට Log4j 2.17 ප්රකාශනය කර ඇත.
ජාවා පුස්තකාලයේ සංවර්ධක Apache, හදිසි පැච් එක යෙදීමට ආයතනවලට උපදෙස් දෙයි. පුස්තකාලය අවදානමට ලක්විය හැකි බව සොයා ගැනීමෙන් පසු තුන්වන වතාවට එම උපදෙස් අදාළ වේ.
සති එකහමාරකට පෙර අලිබබා හි ආරක්ෂක පර්යේෂකයන් cloud ආරක්ෂක කණ්ඩායම Log4j සමඟ යෙදුම් අනිසි ලෙස භාවිතා කිරීමේ ක්රමයක් හෙළි කළේය. Log4j සිදුවීම් ලොග් කිරීමට යෙදුම්වල භාවිතා වේ. අනිෂ්ට මෘදුකාංග ක්රියාත්මක කිරීම සඳහා උපදෙස් සමඟ පිටත සිට පුස්තකාලය සමඟ යෙදුම් වෙත ප්රවේශ විය හැකි බව පෙනී ගියේය. අපයෝජනය මොහොතකට වඩා වැඩි කාලයක් ගතවේ. බොහෝ ආයතනික පරිසරයන්හි පුස්තකාලයේ ඇස්තමේන්තුගත සිදුවීම එයට එකතු කළහොත් ගෝලීය තොරතුරු තාක්ෂණ භූ දර්ශනය මුහුණ දෙන ව්යසනයේ පරිමාණය ඔබට වැටහේ.
Fortinet, Cisco, IBM වැනි මෘදුකාංග සංවර්ධකයින් සහ තවත් දුසිම් ගනනක් ඔවුන්ගේ මෘදුකාංගයේ පුස්තකාලය භාවිතා කරයි. ඔවුන්ගේ සංවර්ධකයින් සති අන්තයේ දෙසැම්බර් 11 වැනි දින අතිකාල වැඩ කළේ අවදානම සඳහා පළමු හදිසි පැච් එක සැකසීමට සහ එය පරිශීලක සංවිධාන වෙත ලබා දීමටය. හරියටම එම ප්ලාවිතය මෙම සංවිධාන තුළ තොරතුරු තාක්ෂණ කණ්ඩායම් වලින් බලාපොරොත්තු විය. ලොව පුරා ප්රහාරක උත්සාහයන් සිය දහස් ගණනක් සිදු විය. සෑම කෙනෙකුටම හැකි ඉක්මනින් 2.15 වෙත මාරු වීමට සිදු විය - 2.15 දක්වා ද අවදානමට ලක්විය හැකි බව සොයා ගන්නා ලදී.
පුස්තකාලයේ ඇතැම් වින්යාසයන් 2.15 අනුවාදයේ පැවතිය හැකිය. මෙම වින්යාසයන් භාවිතා කිරීමෙන් අනාරක්ෂිත බව ස්ථිර විය. 2.16 අනුවාදය නව පැච් එකක් සහතික කරමින් වින්යාසයන් කළ නොහැකි විය. බොහෝ විට දැනටමත් අධික ලෙස වැඩ කර ඇති තොරතුරු තාක්ෂණ කණ්ඩායම්වල කෝපයට පත් වේ. කෙසේ වෙතත්, එය සෑම විටම නරක විය හැකිය, මන්ද 2.16 ද අසනීපයක් ඇති බැවිනි.
නැවත ආරම්භයට
මෙම ගැටලුව කෙරෙහි දැවැන්ත ගෝලීය අවධානයක් ඇති වීම නිසා ලොව පුරා දැවැන්ත විමර්ශනයක් සිදු විය. Apache, පුස්තකාලයේ සංවර්ධක, ආරක්ෂක සමාගමක් නව, දැවෙන ගැටලුවක් පෙන්වා දීමෙන් තොරව දින දෙකක් ඔහුගේ හුස්ම අල්ලා ගත නොහැකි බව පෙනේ.
කෙටියෙන් කිවහොත්, යෙදුම බිඳ වැටෙන සදාකාලික ලූපයක් ආරම්භ කිරීම සඳහා log4j හි අනුවාද දුසිම් ගණනක් - 2.16 ඇතුළුව - එක් පේළියකින් (තන්තුවක්) ධාවනය කළ හැකි බව පෙනේ. අපයෝජනයට ලක්වීම සඳහා පරිසරයක් සපුරාලිය යුතු කොන්දේසි පුළුල් ය. ගැටලුවේ ප්රායෝගික බැරෑරුම්කම මතභේදයට තුඩු දෙන තරමට පුළුල් ය. පැච් නිල වශයෙන් නිර්දේශ කර ඇත, නමුත් සෑම කෙනෙකුටම ඒත්තු ගැන්වෙන්නේ නැත.
නැවතත්, Log4j හි සෑම අවස්ථාවක්ම අවදානමට ලක් නොවේ, නමුත් පුස්තකාලය අභිරුචි සැකසුම් මත ක්රියාත්මක වන අවස්ථා පමණි. විභව ප්රහාරකයෙකුට Log4j ක්රියා කරන ආකාරය පිළිබඳ සවිස්තරාත්මක අවබෝධයක් ද අවශ්ය වේ. ආරම්භක, පහසුවෙන් ප්රවේශ විය හැකි අවදානමට ප්රතිවිරුද්ධව.