Log17j 4 भेद्यता से लगभग 2 अपाचे परियोजनाएं प्रभावित हैं

Darkcrizt

4 मिनट

लॉग4जे

अंतिम दिनों के दौरान नेट पर Log4 की भेद्यता के बारे में बहुत चर्चा हुई हैj जिसमें विभिन्न अटैक वैक्टर खोजे गए हैं और भेद्यता का फायदा उठाने के लिए विभिन्न कार्यात्मक कारनामों को भी फ़िल्टर किया गया है।

मामले की गंभीरता यह है कि जावा अनुप्रयोगों में रजिस्ट्री को व्यवस्थित करने के लिए यह एक लोकप्रिय ढांचा है।, जो "{jndi: URL}" प्रारूप में रजिस्ट्री को विशेष रूप से स्वरूपित मान लिखे जाने पर मनमाने कोड को निष्पादित करने की अनुमति देता है। जावा अनुप्रयोगों पर हमला किया जा सकता है जो बाहरी स्रोतों से प्राप्त मूल्यों को लॉग करते हैं, उदाहरण के लिए त्रुटि संदेशों में समस्याग्रस्त मान प्रदर्शित करके।

और यह एक हमलावर लक्ष्य प्रणाली पर एक HTTP अनुरोध करता है, जो Log4j 2 का उपयोग करके एक लॉग उत्पन्न करता है जो JNDI का उपयोग हमलावर-नियंत्रित साइट पर अनुरोध करने के लिए करता है। भेद्यता तब शोषित प्रक्रिया को साइट पर पहुंचने और पेलोड को निष्पादित करने का कारण बनती है। कई देखे गए हमलों में, हमलावर से संबंधित पैरामीटर एक DNS पंजीकरण प्रणाली है, जिसका उद्देश्य कमजोर सिस्टम की पहचान करने के लिए साइट पर एक अनुरोध दर्ज करना है।

जैसा कि हमारे सहयोगी इसहाक ने पहले ही साझा किया है:

Log4j की यह भेद्यता एलडीएपी को गलत इनपुट सत्यापन का फायदा उठाने की अनुमति देती है, जिससे रिमोट कोड निष्पादन (RCE), और सर्वर से समझौता करना (गोपनीयता, डेटा अखंडता और सिस्टम उपलब्धता)। इसके अलावा, इस भेद्यता की समस्या या महत्व उन अनुप्रयोगों और सर्वरों की संख्या में निहित है जो इसका उपयोग करते हैं, जिसमें व्यावसायिक सॉफ़्टवेयर और क्लाउड सेवाएं जैसे कि Apple iCloud, स्टीम, या लोकप्रिय वीडियो गेम जैसे Minecraft: Java संस्करण, Twitter, Cloudflare, शामिल हैं। Tencent , ElasticSearch, Redis, Elastic Logstash और long आदि।

इस मामले पर बोलते हुए, हाल ही में अपाचे सॉफ्टवेयर फाउंडेशन का विमोचन mediante एक पद परियोजनाओं का एक सारांश जो Log4j 2 में एक महत्वपूर्ण भेद्यता को संबोधित करता है जो सर्वर पर मनमाना कोड चलाने की अनुमति देता है।

निम्नलिखित अपाचे परियोजनाएं प्रभावित हैं: आर्किवा, ड्र्यूड, इवेंटमेश, फ्लिंक, फोर्ट्रेस, जिओड, हाइव, जेमीटर, जेना, जेएसपीविकि, ओएफबीज, ओजोन, स्काईवॉकिंग, सोलर, स्ट्रट्स, ट्रैफिक कंट्रोल और कैल्साइट अवाटिका। भेद्यता ने गिटहब उत्पादों को भी प्रभावित किया, जिसमें गिटहब डॉट कॉम, गिटहब एंटरप्राइज क्लाउड और गिटहब एंटरप्राइज सर्वर शामिल हैं।

हाल के दिनों में उल्लेखनीय वृद्धि हुई है भेद्यता के शोषण से संबंधित गतिविधि की। उदाहरण के लिए, चेक प्वाइंट ने अपने फर्जी सर्वर पर प्रति मिनट लगभग 100 शोषण के प्रयास दर्ज किए अपने चरम पर, और सोफोस ने एक नए क्रिप्टोक्यूरेंसी माइनिंग बॉटनेट की खोज की घोषणा की, जो लॉग 4j 2 में एक अप्रकाशित भेद्यता वाले सिस्टम से बना है।

समस्या के बारे में जारी की गई जानकारी के संबंध में:

  • कई आधिकारिक डॉकर छवियों में भेद्यता की पुष्टि की गई है, जिसमें काउचबेस, इलास्टिक्स खोज, फ्लिंक, सोलर, स्टॉर्म इमेज आदि शामिल हैं।
  • MongoDB एटलस सर्च उत्पाद में भेद्यता मौजूद है।
  • सिस्को वीबेक्स मीटिंग सर्वर, सिस्को सीएक्स क्लाउड एजेंट, सिस्को सहित सिस्को उत्पादों की एक किस्म में समस्या दिखाई देती है
  • उन्नत वेब सुरक्षा रिपोर्टिंग, सिस्को फायरपावर थ्रेट डिफेंस (एफटीडी), सिस्को आइडेंटिटी सर्विसेज इंजन (आईएसई), सिस्को क्लाउड सेंटर, सिस्को डीएनए सेंटर, सिस्को। ब्रॉडवर्क्स, आदि।
  • समस्या आईबीएम वेबस्फेयर एप्लिकेशन सर्वर और निम्नलिखित रेड हैट उत्पादों में मौजूद है: ओपनशिफ्ट, ओपनशिफ्ट लॉगिंग, ओपनस्टैक प्लेटफॉर्म, इंटीग्रेशन कैमल, कोडरेडी स्टूडियो, डेटा ग्रिड, फ्यूज और एएमक्यू स्ट्रीम।
  • जूनोस स्पेस नेटवर्क मैनेजमेंट प्लेटफॉर्म, नॉर्थस्टार कंट्रोलर / प्लानर, पैरागॉन इनसाइट्स / पाथफाइंडर / प्लानर में कन्फर्म इश्यू।
  • Oracle, vmWare, Broadcom और Amazon के कई उत्पाद भी प्रभावित हुए हैं।

Apache प्रोजेक्ट्स जो Log4j 2 भेद्यता से प्रभावित नहीं हैं: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper, और CloudStack।

समस्याग्रस्त पैकेज के उपयोगकर्ताओं को सलाह दी जाती है कि वे जारी किए गए अद्यतनों को तत्काल स्थापित करें उनके लिए, Log4j 2 के संस्करण को अलग से अपडेट करें या पैरामीटर Log4j2.formatMsgNoLookups को सही पर सेट करें (उदाहरण के लिए, स्टार्टअप पर "-DLog4j2.formatMsgNoLookup = True" कुंजी जोड़ना)।

सिस्टम को लॉक करने के लिए असुरक्षित है जिसके लिए कोई सीधी पहुंच नहीं है, लॉगआउट 4 शेल वैक्सीन का फायदा उठाने का सुझाव दिया गया था, जो एक हमले के कमीशन के माध्यम से जावा सेटिंग "log4j2.formatMsgNoLookups = true", "com.sun.jndi को उजागर करता है। .rmi.वस्तु. TrustURLCodebase = false "और" com.sun.jndi.cosnaming.object.trustURLCodebase = false "अनियंत्रित सिस्टम पर भेद्यता की और अभिव्यक्तियों को अवरुद्ध करने के लिए।


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: एबी इंटरनेट नेटवर्क 2008 SL
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।