சில வாரங்களுக்கு முன்பு, Log4j இன் பாதுகாப்புச் சிக்கல்களைப் பற்றிய செய்தி நெட்வொர்க்கில் உள்ள பல பயனர்களை தலைகீழாக மாற்றியது, மேலும் இது மிகவும் சுரண்டப்பட்ட குறைபாடுகளில் ஒன்றாகும் மற்றும் பல நிபுணர்கள் "நீண்ட காலமாக மிகவும் ஆபத்தானது" என்று பெயரிட்டுள்ளனர், நெட்வொர்க்கில் அறியப்பட்ட பாதிப்புகளில் சிலவற்றைப் பற்றி பேசுகிறோம் இங்கே வலைப்பதிவில் இந்த நேரத்தில் நாம் மற்றொரு செய்தியை கண்டுபிடித்துள்ளோம்.
அதுவும் சில நாட்களுக்கு முன்புதான் Log4j 2 நூலகத்தில் மற்றொரு பாதிப்பு அடையாளம் காணப்பட்டதாக செய்தி வெளியிடப்பட்டது (இது ஏற்கனவே CVE-2021-45105 இன் கீழ் பட்டியலிடப்பட்டுள்ளது) மற்றும் முந்தைய இரண்டு சிக்கல்களைப் போலல்லாமல், ஆபத்தானதாக வகைப்படுத்தப்பட்டது, ஆனால் முக்கியமானதாக இல்லை.
புதிய பிரச்சனை சேவை மறுப்பை அனுமதிக்கிறது மற்றும் சுழல்கள் மற்றும் அசாதாரண முடிவுகளின் வடிவத்தில் தன்னை வெளிப்படுத்துகிறது சில வரிகளை செயலாக்கும் போது.
பாதிப்பு $ {ctx: var} போன்ற சூழல் தேடலைப் பயன்படுத்தும் அமைப்புகளைப் பாதிக்கிறது, பதிவு வெளியீட்டு வடிவமைப்பை தீர்மானிக்க.
தி Log4j பதிப்புகள் 2.0-alpha1 முதல் 2.16.0 வரை கட்டுப்பாடற்ற மறுநிகழ்வுக்கு எதிராக பாதுகாப்பு இல்லை, என்ன மாற்றீட்டில் பயன்படுத்தப்படும் மதிப்பைக் கையாள ஒரு தாக்குதலை அனுமதித்தது முடிவில்லாத சுழற்சியை ஏற்படுத்துவதற்கு, அது அடுக்கில் இடம் இல்லாமல் போகும் மற்றும் செயல்முறை செயலிழக்கச் செய்யும். குறிப்பாக, "$ {$ {:: - $ {:: - $$ {:: - j}}}}" போன்ற மதிப்புகளை மாற்றும் போது சிக்கல் ஏற்பட்டது.
கூடுதலாக, ப்ளூமிரா ஆராய்ச்சியாளர்கள் பாதிக்கப்படக்கூடிய ஜாவா பயன்பாடுகள் மீதான தாக்குதலை முன்மொழிந்துள்ளனர் என்பதை கவனத்தில் கொள்ளலாம் வெளிப்புற நெட்வொர்க்குகளின் கோரிக்கைகளை ஏற்காது, எடுத்துக்காட்டாக, டெவலப்பர்களின் அமைப்புகள் அல்லது ஜாவா பயன்பாடுகளின் பயனர்கள் இந்த வழியில் தாக்கப்படலாம்.
முறையின் சாராம்சம் என்னவென்றால், பாதிக்கப்படக்கூடிய ஜாவா செயல்முறைகள் இருந்தால் லோக்கல் ஹோஸ்டிலிருந்து (லோக்கல் ஹோஸ்ட்) நெட்வொர்க் இணைப்புகளை ஏற்கும் பயனரின் கணினியில் செயல்படுத்தப்பட்ட ஜாவாஸ்கிரிப்ட் குறியீடு மூலம் தாக்குதலைச் செய்ய முடியும் உலாவியில் பயனர் தீங்கிழைக்கும் பக்கத்தைத் திறக்கும்போது. அத்தகைய தாக்குதலில் ஜாவா பயன்பாட்டின் நெட்வொர்க் போர்ட்டுடன் இணைப்பை ஏற்படுத்த, WebSocket API பயன்படுத்தப்படுகிறது, இதற்கு, HTTP கோரிக்கைகளைப் போலல்லாமல், ஒரே மூலக் கட்டுப்பாடுகள் எதுவும் பயன்படுத்தப்படாது (உள்ளூர் நெட்வொர்க் போர்ட்களை ஸ்கேன் செய்ய WebSocket ஐப் பயன்படுத்தலாம். கிடைக்கக்கூடிய பிணைய இயக்கிகளைத் தீர்மானிக்க ஹோஸ்ட்).
Google ஆல் வெளியிடப்பட்ட Log4j உடன் சார்புநிலைகளுடன் தொடர்புடைய நூலகங்களின் பாதிப்பை மதிப்பிடும் முடிவுகளும் ஆர்வமாக உள்ளன. கூகுளின் கூற்றுப்படி, மேவன் மத்திய களஞ்சியத்தில் உள்ள அனைத்து தொகுப்புகளிலும் 8% பிரச்சனை பாதிக்கிறது.
குறிப்பாக, நேரடி மற்றும் மறைமுக சார்புகளுடன் 35863 Log4j தொடர்பான ஜாவா தொகுப்புகள் பாதிப்புகளுக்கு ஆளாகியுள்ளன. இதையொட்டி, Log4j ஆனது 17% வழக்குகளில் மட்டுமே முதல் நிலையின் நேரடி சார்புநிலையாகப் பயன்படுத்தப்படுகிறது, மேலும் பாதிப்புக்குள்ளான 83% தொகுப்புகளில், Log4j ஐச் சார்ந்திருக்கும் இடைநிலை தொகுப்புகள் மூலம் பிணைப்பு செய்யப்படுகிறது, அதாவது சொல்லுங்கள். இரண்டாவது மற்றும் மிக உயர்ந்த மட்டத்தின் சார்புகள் (21% - இரண்டாவது நிலை, 12% - மூன்றாவது, 14% - நான்காவது, 26% - ஐந்தாவது, 6% - ஆறாவது).
பாதிப்பை சரிசெய்யும் விகிதம் இன்னும் விரும்பத்தக்கதாக உள்ளது, பாதிப்பு அடையாளம் காணப்பட்ட ஒரு வாரத்திற்குப் பிறகு, அடையாளம் காணப்பட்ட 35863 தொகுப்புகளில், இதுவரை 4620 இல் மட்டுமே சிக்கல் சரி செய்யப்பட்டுள்ளது, அதாவது 13% ஆக உள்ளது.
சார்புத் தேவைகளைப் புதுப்பிக்கவும் பழைய பதிப்பு பிணைப்புகளை Log4j 2 இன் நிலையான பதிப்புகளுடன் மாற்றவும் தொகுப்புகளில் மாற்றங்கள் அவசியம் (ஜாவா தொகுப்புகள் ஒரு குறிப்பிட்ட பதிப்பில் பிணைக்கப் பழகும், சமீபத்திய பதிப்பை நிறுவ அனுமதிக்கும் திறந்த வரம்பு அல்ல).
நிரல்களில் பெரும்பாலும் லைப்ரரிகளின் நகலை டெலிவரி செய்வதால் ஜாவா பயன்பாடுகளில் உள்ள பாதிப்பை நீக்குவது தடைபடுகிறது, மேலும் கணினி தொகுப்புகளில் Log4j 2 பதிப்பைப் புதுப்பித்தால் போதாது.
இதற்கிடையில், உள்கட்டமைப்பு பாதுகாப்பு மற்றும் சைபர் பாதுகாப்புக்கான யு.எஸ். ஏஜென்சி, Log4j பாதிப்பால் பாதிக்கப்பட்டுள்ள தகவல் அமைப்புகளைக் கண்டறிந்து, டிசம்பர் 23க்கு முன், பிரச்சனையைத் தடுக்கும் புதுப்பிப்புகளை நிறுவ, கூட்டாட்சி நிறுவனங்களுக்கு அவசர உத்தரவு பிறப்பித்தது.
மறுபுறம், டிசம்பர் 28 வரை ஒரு வழிகாட்டுதல் வழங்கப்பட்டது, அதில் மேற்கொள்ளப்பட்ட பணிகள் குறித்து அறிக்கையிட வேண்டிய கடமை அமைப்புகளுக்கு இருந்தது. சிக்கலான அமைப்புகளை அடையாளம் காண்பதை எளிதாக்குவதற்கு, பாதிப்பின் வெளிப்பாடு உறுதிப்படுத்தப்பட்ட தயாரிப்புகளின் பட்டியல் தயாரிக்கப்பட்டுள்ளது (பட்டியலில் 23 ஆயிரத்துக்கும் மேற்பட்ட பயன்பாடுகள் உள்ளன).
இறுதியாக, சில நாட்களுக்கு முன்பு வெளியிடப்பட்ட Log4j 2.17 இல் பாதிப்பு சரி செய்யப்பட்டது என்பது குறிப்பிடத்தக்கது மற்றும் புதுப்பிப்புகளை முடக்கியுள்ள பயனர்கள், ஜாவா 8 இல் உள்ள கணினிகளில் மட்டுமே சிக்கல் வெளிப்படுவதால், பாதிப்பின் ஆபத்தைத் தணிக்க வேண்டும் என்பதோடு, தொடர்புடைய புதுப்பிப்பை மேற்கொள்ள பரிந்துரைக்கப்படுகிறது.
மூல: https://logging.apache.org/