Java நூலகத்தில் உள்ள பிரபலமற்ற பாதிப்பின் தாக்கம் Log4j இழுத்துச் செல்கிறது. அவசர பேட்ச் 2.16 மூலம் மிகப்பெரிய பிரச்சனை தீர்க்கப்பட்டாலும், இந்தப் பதிப்பும் துஷ்பிரயோகத்திற்கு ஆளாகக்கூடியதாகத் தோன்றுகிறது. சேவை மறுப்பு (DoS) தாக்குதல்களுக்கான நுழைவாயிலை பாதுகாப்பு ஆய்வாளர்கள் கண்டறிந்தனர். நுழைவை மூடுவதற்கு Log4j 2.17 வெளியிடப்பட்டது.
ஜாவா லைப்ரரியின் டெவலப்பர் அப்பாச்சி, எமர்ஜென்சி பேட்சைப் பயன்படுத்துமாறு நிறுவனங்களுக்கு அறிவுறுத்துகிறார். நூலகம் பாதிக்கப்படக்கூடியதாகக் கண்டறியப்பட்டதால் அந்த அறிவுரை மூன்றாவது முறையாக பொருந்தும்.
ஒன்றரை வாரங்களுக்கு முன்பு, அலிபாபாவின் பாதுகாப்பு ஆராய்ச்சியாளர்கள் cloud Log4j மூலம் பயன்பாடுகளை துஷ்பிரயோகம் செய்வதற்கான ஒரு முறையை பாதுகாப்பு குழு வெளிப்படுத்தியது. நிகழ்வுகளை பதிவு செய்ய Log4j பயன்பாடுகளில் பயன்படுத்தப்படுகிறது. தீம்பொருளை இயக்குவதற்கான வழிமுறைகளுடன் வெளியில் இருந்து நூலகத்துடன் பயன்பாடுகளை அணுகுவது சாத்தியமாக மாறியது. துஷ்பிரயோகம் ஒரு நொடியை விட சற்று அதிகமாக எடுக்கும். பெரும்பாலான கார்ப்பரேட் சூழல்களில் நூலகத்தின் மதிப்பிடப்பட்ட நிகழ்வுகளைச் சேர்த்து, உலகளாவிய IT நிலப்பரப்பு எதிர்கொள்ளும் பேரழிவின் அளவை நீங்கள் புரிந்துகொள்கிறீர்கள்.
Fortinet, Cisco, IBM போன்ற மென்பொருள் உருவாக்குநர்கள் மற்றும் பலர் தங்கள் மென்பொருளில் நூலகத்தைப் பயன்படுத்துகின்றனர். அவர்களின் டெவலப்பர்கள், பாதிப்புக்கான முதல் அவசரகால பேட்சைச் செயலாக்கி, பயனர் நிறுவனங்களுக்கு வழங்க, வார இறுதியில் டிசம்பர் 11 அன்று கூடுதல் நேரம் வேலை செய்தனர். இந்த நிறுவனங்களுக்குள் இருக்கும் தகவல் தொழில்நுட்ப குழுக்களிடமிருந்தும் அதே சறுக்கல் எதிர்பார்க்கப்பட்டது. உலகம் முழுவதும் நூறாயிரக்கணக்கான தாக்குதல் முயற்சிகள் நடந்தன. அனைவரும் கூடிய விரைவில் 2.15 க்கு மாற வேண்டும் - 2.15 வரை பாதிக்கப்படக்கூடியது என கண்டறியப்பட்டது.
நூலகத்தின் சில கட்டமைப்புகள் பதிப்பு 2.15 இல் சாத்தியமாக இருந்தன. இந்த உள்ளமைவுகளைப் பயன்படுத்துவது பாதிப்பை நிரந்தரமாக்கியது. பதிப்பு 2.16 அமைப்புகளை சாத்தியமற்றதாக்கியது, புதிய இணைப்புக்கு உத்தரவாதம் அளிக்கிறது. ஏற்கனவே அதிக வேலை செய்த ஐடி குழுக்களின் வருத்தத்திற்கு பெரும்பாலும். இருப்பினும், இது எப்போதும் மோசமாக இருக்கலாம், ஏனென்றால் 2.16 க்கும் ஒரு வியாதி உள்ளது.
தொடங்குவதற்குத் திரும்பு
இந்த பிரச்சனைக்கு உலகளாவிய கவனம் பாரிய உலகளாவிய விசாரணையைத் தூண்டியது. லைப்ரரியின் டெவலப்பரான அப்பாச்சி, ஒரு பாதுகாப்பு நிறுவனம் ஒரு புதிய, அழுத்தமான சிக்கலைச் சுட்டிக் காட்டாமல் இரண்டு நாட்களுக்கு மூச்சு விட முடியாது.
சுருக்கமாக, log4j இன் டஜன் கணக்கான பதிப்புகள் - 2.16 உட்பட - ஒரு வரியில் (சரம்) பயன்பாட்டை செயலிழக்கச் செய்யும் ஒரு நித்திய சுழற்சியைத் தொடங்க முடியும் என்று மாறிவிடும். துஷ்பிரயோகம் செய்யப்படுவதற்கு சூழல் சந்திக்க வேண்டிய நிபந்தனைகள் விரிவானவை. பிரச்சனையின் நடைமுறை தீவிரம் சர்ச்சைக்குரியது என்று மிகவும் விரிவானது. இணைப்பு அதிகாரப்பூர்வமாக பரிந்துரைக்கப்படுகிறது, ஆனால் அனைவருக்கும் நம்பிக்கை இல்லை.
மீண்டும், Log4j இன் ஒவ்வொரு நிகழ்வுகளும் பாதிக்கப்படக்கூடியவை அல்ல, ஆனால் தனிப்பயன் அமைப்புகளில் நூலகம் இயங்கும் சந்தர்ப்பங்களில் மட்டுமே. சாத்தியமான தாக்குதலுக்கு Log4j எவ்வாறு செயல்படுகிறது என்பது பற்றிய விரிவான நுண்ணறிவு தேவை. ஆரம்ப, எளிதில் அணுகக்கூடிய பாதிப்புக்கு மாறாக.