Java లైబ్రరీ Log4jలోని అప్రసిద్ధ దుర్బలత్వం కోసం ఎమర్జెన్సీ ప్యాచ్ ఫూల్ప్రూఫ్ కాదు. అపాచీ సాఫ్ట్వేర్ ఫౌండేషన్ ఒకసారి మరియు అందరికీ హానిని సరిచేయడానికి కొత్త వెర్షన్ను విడుదల చేస్తోంది.
జావా కోసం బాగా ప్రాచుర్యం పొందిన లైబ్రరీలో ఒక దుర్బలత్వం ప్రపంచ ఐటీ ల్యాండ్స్కేప్ను కదిలిస్తోంది. లైబ్రరీ చాలా కార్పొరేట్ పరిసరాలలో ఉందని అంచనా వేయబడింది.
Log4j ప్రధానంగా లాగింగ్ కోసం ఉపయోగించబడుతుంది. అప్లికేషన్లలోని ఈవెంట్లను నోట్స్తో నమోదు చేసుకోవచ్చు. లాగిన్ ప్రయత్నం తర్వాత లాగిన్ వివరాల ప్రింటవుట్ గురించి ఆలోచించండి. లేదా, జావాలోని వెబ్ అప్లికేషన్ విషయంలో, వినియోగదారు కనెక్ట్ చేయడానికి ప్రయత్నిస్తున్న బ్రౌజర్ పేరు.
తరువాతి ఉదాహరణలు సర్వసాధారణం. రెండు సందర్భాల్లో, బాహ్య వినియోగదారు Log4j అవుట్పుట్ల లాగ్ను ప్రభావితం చేస్తారు. ఆ ప్రభావాన్ని దుర్వినియోగం చేసే అవకాశం ఉంది. సెప్టెంబరు 4, 13 మరియు డిసెంబర్ 2013, 5 మధ్య ఏదైనా Log2021j సంస్కరణ యొక్క లాగ్లు స్థానిక పరికరంలో రిమోట్ సర్వర్ నుండి కోడ్ను అమలు చేయడానికి Java అప్లికేషన్లను సూచించగలవు.
2013 నుండి, Log4j APIని ప్రాసెస్ చేస్తోంది: JNDI, లేదా Java నేమింగ్ మరియు డైరెక్టరీ ఇంటర్ఫేస్. JNDI యొక్క జోడింపు స్థానిక పరికరంలో రిమోట్ సర్వర్ నుండి కోడ్ని అమలు చేయడానికి జావా అప్లికేషన్ను అనుమతిస్తుంది. ప్రోగ్రామర్లు అప్లికేషన్లో రిమోట్ సర్వర్ గురించి ఒకే వరుస వివరాలను జోడించడం ద్వారా నిర్దేశిస్తారు.
సమస్య ఏమిటంటే ప్రోగ్రామర్లు మాత్రమే అప్లికేషన్లకు నియమాన్ని జోడించగలరు. లాగిన్ ప్రయత్నాల వినియోగదారు పేర్లను Log4j లాగ్ చేసిందని అనుకుందాం. వినియోగదారు పేరు ఫీల్డ్లో ఎవరైనా పైన పేర్కొన్న లైన్లోకి ప్రవేశించినప్పుడు, Log4j లైన్ను అమలు చేస్తుంది మరియు జావా అప్లికేషన్ పేర్కొన్న సర్వర్లో కోడ్ను అమలు చేయడానికి ఆదేశాన్ని వివరిస్తుంది. Log4j HTTPS అభ్యర్థనను లాగ్ చేసిన సందర్భాలకు కూడా ఇది వర్తిస్తుంది. మీరు బ్రౌజర్ పేరును లైన్కి మార్చినట్లయితే, Log4j లైన్ను అమలు చేస్తుంది, పరోక్షంగా కోడ్ని కావలసిన విధంగా అమలు చేయమని సూచిస్తుంది.
ఎమర్జెన్సీ ప్యాచ్ కూడా సురక్షితం కాదు
డిసెంబర్ 9న ఈ దుర్బలత్వం పెద్ద ఎత్తున వెలుగులోకి వచ్చింది. అపాచీ సాఫ్ట్వేర్ ఫౌండేషన్, Log4j డెవలపర్, దుర్బలత్వాన్ని పరిష్కరించడానికి అత్యవసర ప్యాచ్ (2.15)ని విడుదల చేసింది. అప్పటి నుండి, సాఫ్ట్వేర్ విక్రేతలు వెర్షన్ 2.15ని ప్రాసెస్ చేయడం మరియు సంస్థలకు ప్యాచ్ను అందించడం అత్యంత ప్రాధాన్యతగా ఉంది.
అయితే, లూనాసెక్ అనే భద్రతా సంస్థ ఈ ప్యాచ్ పూర్తిగా నీరు చొరబడనిది కాదని పేర్కొంది. సెట్టింగ్ని సర్దుబాటు చేయడం మరియు లాగిన్ చేసిన JNDI ఆదేశాలను అమలు చేయడం సాధ్యమవుతుంది.
దయచేసి గమనించండి: సంబంధిత సెట్టింగ్ తప్పనిసరిగా మాన్యువల్గా సర్దుబాటు చేయబడాలి, తద్వారా 2.15 యొక్క సవరించని వేరియంట్లు సురక్షితంగా ఉంటాయి. అయినప్పటికీ, సరఫరాదారులు మరియు సంస్థలు Log4j 2.16కి అప్డేట్ చేయాలని Luna Sec సిఫార్సు చేస్తోంది. 2.16 లూనాసెక్కి ప్రతిస్పందనగా అపాచీ సాఫ్ట్వేర్ ఫౌండేషన్ ద్వారా ప్రచురించబడింది. కొత్త సంస్కరణ పూర్తిగా హాని కలిగించే సెట్టింగ్ను తొలగిస్తుంది, దుర్వినియోగం కోసం పరిస్థితులను సృష్టించడం అసాధ్యం.