થોડા અઠવાડિયા પહેલા, Log4j ની સુરક્ષા સમસ્યાઓના સમાચાર નેટવર્ક પરના ઘણા વપરાશકર્તાઓને ઉલટાવી રહ્યા હતા અને તે એક ખામી છે જેનો સૌથી વધુ ઉપયોગ કરવામાં આવ્યો છે અને જેને ઘણા નિષ્ણાતોએ "લાંબા સમયથી સૌથી ખતરનાક" તરીકે લેબલ કર્યું છે, નેટવર્કમાં જાણીતી નબળાઈઓમાંથી અમે તેમાંથી કેટલીક વિશે વાત કરીએ છીએ અહીં બ્લોગ પર અને આ વખતે અમને બીજા સમાચાર મળ્યા છે.
અને તે થોડા દિવસો પહેલા છે Log4j 2 લાઇબ્રેરીમાં અન્ય નબળાઈ ઓળખવામાં આવી હોવાના સમાચાર બહાર પાડવામાં આવ્યા હતા (જે પહેલેથી જ CVE-2021-45105 હેઠળ સૂચિબદ્ધ છે) અને જે અગાઉના બે મુદ્દાઓથી વિપરીત, ખતરનાક તરીકે વર્ગીકૃત કરવામાં આવ્યું હતું, પરંતુ જટિલ નથી.
નવી સમસ્યા સેવાનો ઇનકાર કરવાની મંજૂરી આપે છે અને લૂપ્સ અને અસામાન્ય સમાપ્તિના સ્વરૂપમાં પોતાને પ્રગટ કરે છે જ્યારે ચોક્કસ રેખાઓ પર પ્રક્રિયા કરવામાં આવે છે.
નબળાઇ સંદર્ભ શોધનો ઉપયોગ કરતી સિસ્ટમોને અસર કરે છે, જેમ કે $ {ctx: var}, લોગ આઉટપુટ ફોર્મેટ નક્કી કરવા માટે.
આ Log4j સંસ્કરણો 2.0-alpha1 થી 2.16.0 માં અનિયંત્રિત પુનરાવર્તન સામે રક્ષણનો અભાવ હતો, શું હુમલાખોરને અવેજીમાં ઉપયોગમાં લેવાતા મૂલ્યમાં હેરફેર કરવાની મંજૂરી આપી અવિરત લૂપનું કારણ બને છે જે સ્ટેક પરની જગ્યા સમાપ્ત થઈ જશે અને પ્રક્રિયાને અટકી જશે. ખાસ કરીને, "$ {$ {:: - $ {:: - $$ {:: - j}}}}" જેવા મૂલ્યોને બદલીને સમસ્યા આવી.
ઉપરાંત, તે નોંધી શકાય છે કે બ્લુમિરા સંશોધકોએ સંવેદનશીલ જાવા એપ્લિકેશનો પર હુમલો કરવાની દરખાસ્ત કરી છે જે બાહ્ય નેટવર્ક્સની વિનંતીઓ સ્વીકારતા નથી, ઉદાહરણ તરીકે, વિકાસકર્તાઓની સિસ્ટમો અથવા Java એપ્લિકેશનના વપરાશકર્તાઓ પર આ રીતે હુમલો કરી શકાય છે.
પદ્ધતિનો સાર એ છે કે જો ત્યાં સંવેદનશીલ જાવા પ્રક્રિયાઓ છે વપરાશકર્તાની સિસ્ટમ પર કે જે ફક્ત સ્થાનિક હોસ્ટ (લોકલહોસ્ટ) માંથી નેટવર્ક કનેક્શન સ્વીકારે છે, અથવા RMI-વિનંતીઓની પ્રક્રિયા કરે છે (રિમોટ મેથડ ઇન્વોકેશન, પોર્ટ 1099), હુમલો જાવાસ્ક્રિપ્ટ કોડ દ્વારા કરી શકાય છે જ્યારે વપરાશકર્તા બ્રાઉઝરમાં દૂષિત પૃષ્ઠ ખોલે છે. આવા હુમલામાં જાવા એપ્લિકેશનના નેટવર્ક પોર્ટ સાથે જોડાણ સ્થાપિત કરવા માટે, WebSocket API નો ઉપયોગ કરવામાં આવે છે, જેમાં HTTP વિનંતીઓથી વિપરીત, સમાન-મૂળના પ્રતિબંધો લાગુ કરવામાં આવતા નથી (વેબસોકેટનો ઉપયોગ સ્થાનિક નેટવર્ક પર નેટવર્ક પોર્ટ્સને સ્કેન કરવા માટે પણ થઈ શકે છે. ઉપલબ્ધ નેટવર્ક ડ્રાઇવરો નક્કી કરવા માટે હોસ્ટ).
Google દ્વારા પ્રકાશિત Log4j સાથે અવલંબન સાથે સંકળાયેલ લાઇબ્રેરીઓની નબળાઈના મૂલ્યાંકનના પરિણામો પણ રસપ્રદ છે. ગૂગલના જણાવ્યા મુજબ, સમસ્યા મેવેન સેન્ટ્રલ રિપોઝીટરીના તમામ પેકેજોના 8% ને અસર કરે છે.
ખાસ કરીને, પ્રત્યક્ષ અને પરોક્ષ નિર્ભરતા સાથે 35863 Log4j સંબંધિત Java પેકેજો નબળાઈઓ માટે ખુલ્લા હતા. બદલામાં, Log4j નો ઉપયોગ ફક્ત 17% કેસોમાં પ્રથમ સ્તરની સીધી અવલંબન તરીકે થાય છે, અને નબળાઈ દ્વારા આવરી લેવામાં આવેલા 83% પેકેજોમાં, બાઇન્ડિંગ મધ્યવર્તી પેકેજો દ્વારા કરવામાં આવે છે જે Log4j પર આધાર રાખે છે, એટલે કે, જણાવો. બીજા અને ઉચ્ચતમ સ્તરની અવલંબન (21% - બીજા સ્તર, 12% - ત્રીજું, 14% - ચોથું, 26% - પાંચમું, 6% - છઠ્ઠું).
નબળાઈના સમારકામની ગતિ હજુ પણ ઇચ્છિત થવા માટે ઘણી બાકી છે, નબળાઈ ઓળખવામાં આવ્યાના એક અઠવાડિયા પછી, 35863 પેકેજોમાંથી, સમસ્યાને અત્યાર સુધી માત્ર 4620 માં ઠીક કરવામાં આવી છે, એટલે કે, 13% પર.
ડિપેન્ડન્સી જરૂરિયાતોને અપડેટ કરવા અને Log4j 2 ના નિશ્ચિત વર્ઝન સાથે જૂના વર્ઝન બાઈન્ડિંગ્સને બદલવા માટે પેકેજ ફેરફારો જરૂરી છે (જાવા પૅકેજ ચોક્કસ વર્ઝન સાથે બંધનકર્તા પ્રેક્ટિસ કરે છે, અને ઓપન રેન્જ નહીં કે જે નવીનતમ સંસ્કરણ ઇન્સ્ટોલ કરવાની મંજૂરી આપે છે).
જાવા એપ્લીકેશનમાં નબળાઈને દૂર કરવી એ હકીકત દ્વારા અવરોધાય છે કે પ્રોગ્રામ્સમાં વારંવાર લાઈબ્રેરીઓની નકલનો સમાવેશ થાય છે, અને તે સિસ્ટમ પેકેજોમાં Log4j 2 સંસ્કરણને અપડેટ કરવા માટે પૂરતું નથી.
દરમિયાન, યુ.એસ. એજન્સી ફોર ઇન્ફ્રાસ્ટ્રક્ચર પ્રોટેક્શન એન્ડ સાયબર સિક્યુરિટીએ ઇમરજન્સી ડાયરેક્ટીવ બહાર પાડ્યું હતું જેમાં ફેડરલ એજન્સીઓને Log4j નબળાઈથી પ્રભાવિત માહિતી સિસ્ટમોને ઓળખવા અને સમસ્યાને અવરોધિત કરતા અપડેટ્સ ઇન્સ્ટોલ કરવા જરૂરી છે. 23 ડિસેમ્બર પહેલાં.
બીજી તરફ, 28 ડિસેમ્બર સુધી માર્ગદર્શિકા આપવામાં આવી હતી, જેમાં સંસ્થાઓએ હાથ ધરેલી કામગીરી અંગે અહેવાલ આપવાની જવાબદારી હતી. સમસ્યારૂપ પ્રણાલીઓની ઓળખને સરળ બનાવવા માટે, ઉત્પાદનોની સૂચિ તૈયાર કરવામાં આવી છે જેમાં નબળાઈના અભિવ્યક્તિની પુષ્ટિ કરવામાં આવી છે (સૂચિમાં 23 હજારથી વધુ એપ્લિકેશનો છે).
છેલ્લે, ઉલ્લેખનીય છે કે Log4j 2.17 માં નબળાઈ ઠીક કરવામાં આવી હતી જે થોડા દિવસો પહેલા પ્રકાશિત કરવામાં આવી હતી. અને જે વપરાશકર્તાઓએ અપડેટ્સ અક્ષમ કરેલ છે તેઓને અનુરૂપ અપડેટ હાથ ધરવા માટે ભલામણ કરવામાં આવે છે, તે ઉપરાંત એ હકીકત દ્વારા નબળાઈના જોખમને ઘટાડવામાં આવે છે કે સમસ્યા ફક્ત Java 8 સાથેની સિસ્ટમો પર જ પ્રગટ થાય છે.
સ્રોત: https://logging.apache.org/