কয়েক সপ্তাহ আগে, Log4j-এর নিরাপত্তা সমস্যার খবর নেটওয়ার্কের অনেক ব্যবহারকারীকে উল্টোদিকে ঘুরিয়ে দিয়েছিল এবং এটি সেই ত্রুটিগুলির মধ্যে একটি যা সবচেয়ে বেশি কাজে লাগানো হয়েছে এবং যাকে অনেক বিশেষজ্ঞ "দীর্ঘ সময়ের মধ্যে সবচেয়ে বিপজ্জনক" হিসাবে লেবেল করেছেন, নেটওয়ার্কে পরিচিত হওয়া দুর্বলতাগুলির মধ্যে আমরা তাদের কিছু সম্পর্কে কথা বলি ব্লগে এখানে আর এইবার আমরা আরেকজনের খবর পেয়েছি।
আর সেটা তো কয়েকদিন আগের কথা খবর প্রকাশিত হয়েছিল যে Log4j 2 লাইব্রেরিতে আরেকটি দুর্বলতা চিহ্নিত করা হয়েছিল (যা ইতিমধ্যেই CVE-2021-45105-এর অধীনে তালিকাভুক্ত করা হয়েছে) এবং যা পূর্ববর্তী দুটি সমস্যার বিপরীতে, বিপজ্জনক হিসাবে শ্রেণীবদ্ধ করা হয়েছিল, কিন্তু সমালোচনামূলক নয়।
নতুন সমস্যা পরিষেবা অস্বীকার করার অনুমতি দেয় এবং লুপ এবং অস্বাভাবিক সমাপ্তির আকারে নিজেকে প্রকাশ করে নির্দিষ্ট লাইন প্রক্রিয়াকরণের সময়।
ক্ষতিগ্রস্থতা প্রসঙ্গ অনুসন্ধান ব্যবহার করে এমন সিস্টেমগুলিকে প্রভাবিত করে, যেমন $ {ctx: var}, লগ আউটপুট বিন্যাস নির্ধারণ করতে.
The Log4j সংস্করণ 2.0-alpha1 থেকে 2.16.0 অনিয়ন্ত্রিত পুনরাবৃত্তির বিরুদ্ধে সুরক্ষার অভাব ছিল, কি একজন আক্রমণকারীকে প্রতিস্থাপনে ব্যবহৃত মান ম্যানিপুলেট করার অনুমতি দেয় একটি অন্তহীন লুপ তৈরি করতে যা স্ট্যাকের স্থান ফুরিয়ে যাবে এবং প্রক্রিয়াটিকে স্তব্ধ করে দেবে। বিশেষ করে, "$ {$ {:: - $ {:: - $$ {:: - j}}}}" এর মতো মানগুলি প্রতিস্থাপন করার সময় সমস্যাটি ঘটেছে৷
উপরন্তু, এটি লক্ষ করা যায় যে ব্লুমিরা গবেষকরা দুর্বল জাভা অ্যাপ্লিকেশনগুলিতে আক্রমণের প্রস্তাব করেছেন যেগুলি বহিরাগত নেটওয়ার্কগুলির অনুরোধগুলি গ্রহণ করে না, উদাহরণস্বরূপ, বিকাশকারীদের সিস্টেম বা জাভা অ্যাপ্লিকেশনগুলির ব্যবহারকারীদের এইভাবে আক্রমণ করা যেতে পারে৷
পদ্ধতির সারমর্ম হল যে যদি দুর্বল জাভা প্রসেস থাকে ব্যবহারকারীর সিস্টেমে যা শুধুমাত্র স্থানীয় হোস্ট (স্থানীয় হোস্ট) থেকে নেটওয়ার্ক সংযোগ গ্রহণ করে, বা RMI- অনুরোধগুলি প্রক্রিয়া করে (রিমোট মেথড ইনভোকেশন, পোর্ট 1099), আক্রমণটি কার্যকর করা জাভাস্ক্রিপ্ট কোড দ্বারা সঞ্চালিত হতে পারে যখন ব্যবহারকারী ব্রাউজারে একটি দূষিত পৃষ্ঠা খোলে। এই ধরনের আক্রমণে একটি জাভা অ্যাপ্লিকেশনের নেটওয়ার্ক পোর্টের সাথে সংযোগ স্থাপন করতে, WebSocket API ব্যবহার করা হয়, যেখানে HTTP অনুরোধের বিপরীতে, একই-উৎস সীমাবদ্ধতা প্রয়োগ করা হয় না (ওয়েবসকেট স্থানীয় নেটওয়ার্ক পোর্ট স্ক্যান করতেও ব্যবহার করা যেতে পারে। উপলব্ধ নেটওয়ার্ক ড্রাইভার নির্ধারণ করতে হোস্ট)।
Google দ্বারা প্রকাশিত Log4j-এর সাথে নির্ভরতার সাথে সম্পর্কিত লাইব্রেরিগুলির দুর্বলতা মূল্যায়নের ফলাফলগুলিও আগ্রহের বিষয়। গুগলের মতে, সমস্যাটি মাভেন সেন্ট্রাল রিপোজিটরির সমস্ত প্যাকেজের 8% প্রভাবিত করে।
বিশেষ করে, প্রত্যক্ষ এবং পরোক্ষ নির্ভরতা সহ 35863 Log4j সম্পর্কিত জাভা প্যাকেজগুলি দুর্বলতার মুখোমুখি হয়েছিল। পরিবর্তে, Log4j শুধুমাত্র 17% ক্ষেত্রে প্রথম স্তরের সরাসরি নির্ভরতা হিসাবে ব্যবহৃত হয়, এবং দুর্বলতার দ্বারা আচ্ছাদিত 83% প্যাকেজে, বাইন্ডিং করা হয় মধ্যবর্তী প্যাকেজগুলির মাধ্যমে যা Log4j-এর উপর নির্ভর করে, যা বলুন। দ্বিতীয় এবং সর্বোচ্চ স্তরের নির্ভরতা (21% - দ্বিতীয় স্তর, 12% - তৃতীয়, 14% - চতুর্থ, 26% - পঞ্চম, 6% - ষষ্ঠ)।
দুর্বলতা মেরামতের হার এখনও কাঙ্খিত অনেক কিছু ছেড়ে যায়, দুর্বলতা চিহ্নিত করার এক সপ্তাহ পরে, 35863টি প্যাকেজের মধ্যে চিহ্নিত করা হয়েছে, সমস্যাটি এখন পর্যন্ত মাত্র 4620টিতে ঠিক করা হয়েছে, অর্থাৎ 13%।
নির্ভরতা প্রয়োজনীয়তা আপডেট করতে এবং Log4j 2-এর নির্দিষ্ট সংস্করণের সাথে পুরানো সংস্করণ বাইন্ডিংগুলি প্রতিস্থাপন করতে প্যাকেজ পরিবর্তনগুলি প্রয়োজনীয় (জাভা প্যাকেজগুলি একটি নির্দিষ্ট সংস্করণে বাঁধাই করার অনুশীলন করে, এবং একটি উন্মুক্ত পরিসর নয় যা সর্বশেষ সংস্করণ ইনস্টল করার অনুমতি দেয়)।
জাভা অ্যাপ্লিকেশানগুলির দুর্বলতা দূর করা এই কারণে বাধাগ্রস্ত হয় যে প্রোগ্রামগুলি প্রায়শই বিতরণে লাইব্রেরির একটি অনুলিপি অন্তর্ভুক্ত করে এবং সিস্টেম প্যাকেজগুলিতে Log4j 2 সংস্করণ আপডেট করা যথেষ্ট নয়।
এদিকে, ইউএস এজেন্সি ফর ইনফ্রাস্ট্রাকচার প্রোটেকশন অ্যান্ড সাইবারসিকিউরিটি একটি জরুরী নির্দেশ জারি করেছে যাতে ফেডারেল এজেন্সিগুলিকে Log4j দুর্বলতা দ্বারা প্রভাবিত তথ্য সিস্টেমগুলি সনাক্ত করতে এবং সমস্যাটিকে ব্লক করে এমন আপডেটগুলি ইনস্টল করতে হবে৷ 23 ডিসেম্বরের আগে৷
অন্যদিকে, ২৮ ডিসেম্বর পর্যন্ত একটি নির্দেশিকা দেওয়া হয়েছিল, যাতে সংস্থাগুলিকে সম্পাদিত কাজের প্রতিবেদন দেওয়ার বাধ্যবাধকতা ছিল। সমস্যাযুক্ত সিস্টেমগুলির সনাক্তকরণকে সহজ করার জন্য, পণ্যগুলির একটি তালিকা প্রস্তুত করা হয়েছে যেখানে একটি দুর্বলতার প্রকাশ নিশ্চিত করা হয়েছে (তালিকায় 28 হাজারেরও বেশি অ্যাপ্লিকেশন রয়েছে)।
পরিশেষে, এটি উল্লেখযোগ্য যে Log4j 2.17-এ দুর্বলতা সংশোধন করা হয়েছিল যা কয়েক দিন আগে প্রকাশিত হয়েছিল এবং যে সমস্ত ব্যবহারকারীদের আপডেটগুলি নিষ্ক্রিয় করা আছে তাদের সংশ্লিষ্ট আপডেটটি চালানোর পরামর্শ দেওয়া হচ্ছে, এই সত্যটি ছাড়াও যে সমস্যাটি জাভা 8 এর সাথে সিস্টেমে নিজেকে প্রকাশ করে তার দ্বারা দুর্বলতার বিপদ প্রশমিত হয়।
উৎস: https://logging.apache.org/