جاوا لائبریری Log4j میں بدنام زمانہ خطرے کا اثر آگے بڑھتا ہے۔ اگرچہ سب سے بڑا مسئلہ ارجنٹ پیچ 2.16 کے ساتھ حل ہو گیا تھا، لیکن یہ ورژن بھی غلط استعمال کا شکار دکھائی دیتا ہے۔ سیکیورٹی محققین کو سروس سے انکار (DoS) حملوں کے لیے ایک داخلی راستہ ملا۔ لاگ 4 جے 2.17 اندراج کو بند کرنے کے لیے شائع کیا گیا ہے۔
اپاچی، جاوا لائبریری کا ڈویلپر، تنظیموں کو مشورہ دیتا ہے کہ وہ ہنگامی پیچ کا اطلاق کریں۔ یہ مشورہ تیسری بار لاگو ہوتا ہے جب سے لائبریری کو کمزور پایا گیا تھا۔
ڈیڑھ ہفتہ قبل علی بابا کے سیکورٹی محققین cloud سیکیورٹی ٹیم نے Log4j کے ساتھ ایپلی کیشنز کو غلط استعمال کرنے کا طریقہ بتایا۔ Log4j پروگراموں کو لاگ ان کرنے کے لیے استعمال کیا جاتا ہے۔ میلویئر کو انجام دینے کی ہدایات کے ساتھ لائبریری کے ساتھ باہر سے ایپلی کیشنز تک رسائی ممکن ہوئی۔ بدسلوکی ایک تصویر سے تھوڑا زیادہ لیتی ہے۔ اس میں زیادہ تر کارپوریٹ ماحول میں لائبریری کی متوقع موجودگی کو شامل کریں اور آپ عالمی آئی ٹی کے منظر نامے کو درپیش تباہی کے پیمانے کو سمجھتے ہیں۔
سافٹ ویئر ڈویلپرز جیسے کہ Fortinet، Cisco، IBM اور درجنوں دوسرے اپنے سافٹ ویئر میں لائبریری کا استعمال کرتے ہیں۔ ان کے ڈویلپرز نے 11 دسمبر کے اختتام ہفتہ پر اوور ٹائم کام کیا تاکہ خطرے کے لیے پہلے ہنگامی پیچ پر کارروائی کی جا سکے اور اسے صارف تنظیموں تک پہنچایا جا سکے۔ ان تنظیموں کے اندر آئی ٹی ٹیموں سے بالکل اسی طرح کے بہاؤ کی توقع تھی۔ دنیا بھر میں لاکھوں حملوں کی کوششیں ہوئیں۔ ہر ایک کو جلد از جلد 2.15 پر سوئچ کرنا پڑا - جب تک کہ 2.15 کو بھی کمزور پایا گیا۔
ورژن 2.15 میں لائبریری کی کچھ ترتیبیں ممکن رہیں۔ ان کنفیگریشنز کو استعمال کرتے ہوئے خطرے کو برقرار رکھا۔ ورژن 2.16 نے ایک نئے پیچ کی ضمانت دیتے ہوئے کنفیگریشنز کو ناممکن بنا دیا۔ اکثر پہلے سے زیادہ کام کرنے والی آئی ٹی ٹیموں کی پریشانی کا سامنا کرنا پڑتا ہے۔ تاہم، یہ ہمیشہ بدتر ہو سکتا ہے، کیونکہ 2.16 میں بھی ایک بیماری ہے۔
واپس شروع کرنے کے لئے
اس مسئلے پر بڑے پیمانے پر عالمی توجہ نے دنیا بھر میں بڑے پیمانے پر تحقیقات کا آغاز کیا۔ اپاچی، لائبریری کا ڈویلپر، ایسا لگتا ہے کہ وہ دو دن تک اپنی سانسیں نہیں پکڑ سکتا جب تک کہ کسی سیکیورٹی کمپنی نے ایک نئے، اہم مسئلے کی نشاندہی نہ کی ہو۔
مختصراً، یہ پتہ چلتا ہے کہ log4j کے درجنوں ورژن - بشمول 2.16 - کو ایک لائن (سٹرنگ) کے ساتھ چلانا ممکن ہے تاکہ ایپلیکیشن کو کریش کرنے والی ایک ابدی لوپ شروع کی جا سکے۔ بدسلوکی کا شکار ہونے کے لیے ماحول کو جن شرائط کو پورا کرنا ضروری ہے۔ اتنا وسیع ہے کہ مسئلے کی عملی سنجیدگی متنازع ہے۔ پیچ کی سرکاری طور پر سفارش کی گئی ہے، لیکن ہر کوئی اس پر قائل نہیں ہے۔
ایک بار پھر، Log4j کی ہر مثال کمزور نہیں ہے، لیکن صرف ایسے معاملات جہاں لائبریری اپنی مرضی کی ترتیبات پر چل رہی ہے۔ ایک ممکنہ حملہ آور کو بھی تفصیلی بصیرت کی ضرورت ہوتی ہے کہ Log4j کیسے کام کرتا ہے۔ ابتدائی، آسانی سے قابل رسائی خطرے کے برعکس۔