Java లైబ్రరీ Log4jలో అప్రసిద్ధ దుర్బలత్వం యొక్క ప్రభావం లాగబడుతుంది. తక్షణ ప్యాచ్ 2.16తో అతిపెద్ద సమస్య పరిష్కరించబడినప్పటికీ, ఈ వెర్షన్ దుర్వినియోగానికి గురయ్యే అవకాశం కూడా ఉంది. భద్రతా పరిశోధకులు సేవా నిరాకరణ (DoS) దాడులకు ప్రవేశాన్ని కనుగొన్నారు. ఎంట్రీని మూసివేయడానికి Log4j 2.17 ప్రచురించబడింది.
జావా లైబ్రరీ డెవలపర్ అయిన అపాచీ, ఎమర్జెన్సీ ప్యాచ్ని వర్తింపజేయమని సంస్థలకు సలహా ఇస్తున్నారు. లైబ్రరీ బలహీనంగా ఉన్నట్లు కనుగొనబడినందున ఆ సలహా మూడవసారి వర్తిస్తుంది.
వారంన్నర క్రితం, అలీబాబాకు చెందిన భద్రతా పరిశోధకులు cloud భద్రతా బృందం Log4jతో అప్లికేషన్లను దుర్వినియోగం చేసే పద్ధతిని వెల్లడించింది. ఈవెంట్లను లాగ్ చేయడానికి అప్లికేషన్లలో Log4j ఉపయోగించబడుతుంది. మాల్వేర్ని అమలు చేయడానికి సూచనలతో బయటి నుండి లైబ్రరీతో అప్లికేషన్లను యాక్సెస్ చేయడం సాధ్యమవుతుందని తేలింది. దుర్వినియోగం ఒక స్నాప్ కంటే కొంచెం ఎక్కువ పడుతుంది. చాలా కార్పొరేట్ పరిసరాలలో లైబ్రరీ యొక్క అంచనా వేయబడిన సంఘటనలను దానికి జోడించండి మరియు ప్రపంచ IT ల్యాండ్స్కేప్ ఎదుర్కొంటున్న విపత్తు యొక్క స్థాయిని మీరు అర్థం చేసుకున్నారు.
Fortinet, Cisco, IBM వంటి సాఫ్ట్వేర్ డెవలపర్లు మరియు డజన్ల కొద్దీ ఇతరులు తమ సాఫ్ట్వేర్లో లైబ్రరీని ఉపయోగిస్తున్నారు. వారి డెవలపర్లు దుర్బలత్వం కోసం మొదటి ఎమర్జెన్సీ ప్యాచ్ను ప్రాసెస్ చేయడానికి మరియు వినియోగదారు సంస్థలకు బట్వాడా చేయడానికి వారాంతంలో డిసెంబర్ 11న ఓవర్టైమ్ చేసారు. ఈ సంస్థలలోని IT బృందాల నుండి సరిగ్గా అదే చలనం ఆశించబడింది. ప్రపంచవ్యాప్తంగా వందల వేల దాడి ప్రయత్నాలు జరిగాయి. ప్రతి ఒక్కరూ వీలైనంత త్వరగా 2.15కి మారాలి - 2.15 వరకు కూడా హాని కలిగించే అవకాశం ఉన్నట్లు కనుగొనబడింది.
లైబ్రరీ యొక్క కొన్ని కాన్ఫిగరేషన్లు వెర్షన్ 2.15లో సాధ్యమే. ఈ కాన్ఫిగరేషన్లను ఉపయోగించడం దుర్బలత్వాన్ని శాశ్వతం చేసింది. సంస్కరణ 2.16 కాన్ఫిగరేషన్లను అసాధ్యం చేసింది, కొత్త ప్యాచ్కు హామీ ఇస్తుంది. ఇప్పటికే ఓవర్వర్క్లో ఉన్న IT బృందాలకు తరచుగా కోపం వస్తుంది. అయినప్పటికీ, ఇది ఎల్లప్పుడూ అధ్వాన్నంగా ఉంటుంది, ఎందుకంటే 2.16 కూడా అనారోగ్యం కలిగి ఉంటుంది.
తిరిగి ప్రారంభించడానికి
ఈ సమస్యపై ప్రపంచవ్యాప్త శ్రద్ధ భారీ ప్రపంచవ్యాప్తంగా దర్యాప్తును ప్రేరేపించింది. లైబ్రరీ డెవలపర్ అయిన అపాచీ, సెక్యూరిటీ కంపెనీ కొత్త, ఒత్తిడితో కూడిన సమస్యను ఎత్తి చూపకుండా రెండు రోజుల పాటు ఊపిరి పీల్చుకోలేకపోయాడు.
సంక్షిప్తంగా, అప్లికేషన్ను క్రాష్ చేసే ఎటర్నల్ లూప్ను ప్రారంభించడానికి 4తో సహా - ఒక లైన్ (స్ట్రింగ్)తో డజన్ల కొద్దీ log2.16j వెర్షన్లను అమలు చేయడం సాధ్యమవుతుందని తేలింది. దుర్వినియోగం కావడానికి పర్యావరణం తప్పక కలుసుకోవాల్సిన పరిస్థితులు విస్తృతంగా ఉన్నాయి. సమస్య యొక్క ఆచరణాత్మక తీవ్రత వివాదాస్పదమైనది కాబట్టి విస్తృతమైనది. ప్యాచ్ అధికారికంగా సిఫార్సు చేయబడింది, కానీ ప్రతి ఒక్కరూ ఒప్పించబడరు.
మళ్ళీ, Log4j యొక్క ప్రతి సందర్భం హాని కలిగించదు, కానీ లైబ్రరీ అనుకూల సెట్టింగ్లలో రన్ అవుతున్న సందర్భాలు మాత్రమే. సంభావ్య దాడి చేసే వ్యక్తికి Log4j ఎలా పనిచేస్తుందనే దానిపై వివరణాత్మక అంతర్దృష్టి కూడా అవసరం. ప్రారంభ, సులభంగా యాక్సెస్ చేయగల దుర్బలత్వానికి విరుద్ధంగా.