ஜாவா லைப்ரரி Log4j இல் உள்ள பிரபலமற்ற பாதிப்புக்கான அவசர இணைப்பு தவறானது அல்ல. Apache Software Foundation ஒருமுறை மற்றும் அனைவருக்கும் பாதிப்பை சரிசெய்ய புதிய பதிப்பை வெளியிடுகிறது.
ஜாவாவிற்கான மிகவும் பிரபலமான நூலகத்தில் உள்ள பாதிப்பு உலகளாவிய தகவல் தொழில்நுட்ப நிலப்பரப்பை உலுக்கி வருகிறது. பெரும்பாலான கார்ப்பரேட் சூழல்களில் நூலகம் இருப்பதாக மதிப்பிடப்பட்டுள்ளது.
Log4j முக்கியமாக பதிவு செய்ய பயன்படுத்தப்படுகிறது. விண்ணப்பங்களில் உள்ள நிகழ்வுகளை குறிப்புகளுடன் பதிவு செய்யலாம். உள்நுழைவு முயற்சிக்குப் பிறகு உள்நுழைவு விவரங்களின் அச்சுப்பொறியைப் பற்றி சிந்தியுங்கள். அல்லது, ஜாவாவில் உள்ள இணையப் பயன்பாட்டின் விஷயத்தில், ஒரு பயனர் இணைக்க முயற்சிக்கும் உலாவியின் பெயர்.
பிந்தைய எடுத்துக்காட்டுகள் பொதுவானவை. இரண்டு சந்தர்ப்பங்களிலும், ஒரு வெளிப்புறப் பயனர் Log4j வெளியீடுகளின் பதிவை பாதிக்கிறார். அந்த செல்வாக்கை துஷ்பிரயோகம் செய்ய வாய்ப்புள்ளது. செப்டம்பர் 4, 13 முதல் டிசம்பர் 2013, 5 வரையிலான எந்த Log2021j பதிப்பின் பதிவுகளும், உள்ளூர் சாதனத்தில் ரிமோட் சர்வரிலிருந்து குறியீட்டை இயக்க ஜாவா பயன்பாடுகளுக்கு அறிவுறுத்தும்.
2013 முதல், Log4j ஒரு API: JNDI அல்லது ஜாவா பெயரிடுதல் மற்றும் அடைவு இடைமுகத்தை செயலாக்குகிறது. JNDI ஐச் சேர்ப்பது, உள்ளூர் சாதனத்தில் உள்ள தொலை சேவையகத்திலிருந்து குறியீட்டை இயக்க ஜாவா பயன்பாட்டை அனுமதிக்கிறது. ஒரு பயன்பாட்டில் ரிமோட் சர்வரைப் பற்றிய விவரங்களின் ஒற்றை வரியைச் சேர்ப்பதன் மூலம் புரோகிராமர்கள் அறிவுறுத்துகிறார்கள்.
சிக்கல் என்னவென்றால், புரோகிராமர்கள் மட்டுமல்ல, பயன்பாடுகளில் விதியைச் சேர்க்க முடியும். உள்நுழைவு முயற்சிகளின் பயனர்பெயர்களை Log4j பதிவு செய்கிறது என்று வைத்துக்கொள்வோம். பயனர்பெயர் புலத்தில் யாரேனும் மேற்கூறிய வரியில் நுழையும் போது, Log4j வரியை இயக்குகிறது மற்றும் ஜாவா பயன்பாடு குறிப்பிட்ட சேவையகத்தில் குறியீட்டை இயக்குவதற்கான கட்டளையை விளக்குகிறது. Log4j ஒரு HTTPS கோரிக்கையை பதிவு செய்யும் நிகழ்வுகளுக்கும் இதுவே செல்கிறது. நீங்கள் உலாவியின் பெயரை வரிக்கு மாற்றினால், Log4j வரியை இயக்குகிறது, மறைமுகமாக விரும்பியபடி குறியீட்டை இயக்க அறிவுறுத்துகிறது.
அவசர இணைப்பும் பாதுகாப்பற்றதாக இருக்கலாம்
டிசம்பர் 9 அன்று, பாதிப்பு பெரிய அளவில் வெளிச்சத்திற்கு வந்தது. Log4j இன் டெவலப்பரான Apache Software Foundation, பாதிப்பைச் சரிசெய்வதற்காக அவசரகால இணைப்பு (2.15) ஒன்றை வெளியிட்டது. அப்போதிருந்து, மென்பொருள் விற்பனையாளர்கள் பதிப்பு 2.15 ஐச் செயலாக்குவதற்கும் நிறுவனங்களுக்கு ஒரு இணைப்பு வழங்குவதற்கும் முதன்மையான முன்னுரிமையாக இருந்து வருகிறது.
இருப்பினும், பாதுகாப்பு அமைப்பான LunaSec கூறுகிறது, இணைப்பு முற்றிலும் நீர்ப்புகா இல்லை. ஒரு அமைப்பை சரிசெய்வது மற்றும் உள்நுழைந்த JNDI கட்டளைகளை செயல்படுத்துவது சாத்தியமாகும்.
தயவுசெய்து கவனிக்கவும்: தொடர்புடைய அமைப்பு கைமுறையாக சரிசெய்யப்பட வேண்டும், இதனால் 2.15 இன் மாற்றப்படாத மாறுபாடுகள் உண்மையில் பாதுகாப்பானவை. இருப்பினும், சப்ளையர்கள் மற்றும் நிறுவனங்கள் Log4j 2.16 க்கு புதுப்பிக்குமாறு Luna Sec பரிந்துரைக்கிறது. 2.16 லூனாசெக்கிற்கு பதில் அப்பாச்சி மென்பொருள் அறக்கட்டளையால் வெளியிடப்பட்டது. புதிய பதிப்பு முற்றிலும் பாதிக்கப்படக்கூடிய அமைப்பை நீக்குகிறது, துஷ்பிரயோகத்திற்கான நிலைமைகளை உருவாக்க முடியாது.