Log4j 2.17.1 अब अधिक Log4Shell भेद्यता सुधारों के साथ उपलब्ध है

Xda समाचार संक्षिप्तNov 16, 2023
click fraud protection

अपाचे फाउंडेशन एक महीने में चौथा Log4j अपडेट जारी कर रहा है, जो अधिक संभावित सुरक्षा कमजोरियों को ठीक करता है।

इस महीने पहले, लोकप्रिय जावा-आधारित लॉगिंग पैकेज "Log4j" में एक सुरक्षा भेद्यता की खोज की गई अनगिनत कंपनियों और तकनीकी उत्पादों के लिए एक बड़ी समस्या बन गई। Minecraft, Steam, Apple iCloud, और अन्य एप्लिकेशन और सेवाओं को पैच किए गए संस्करण के साथ अपडेट जल्दी करना पड़ा, लेकिन Log4j की समस्याएं अभी तक पूरी तरह से ठीक नहीं हुई हैं। अब एक और अपडेट जारी किया जा रहा है, जिसका उद्देश्य एक अन्य संभावित सुरक्षा समस्या को ठीक करना है।

अपाचे सॉफ्टवेयर फाउंडेशन ने जारी किया Log4j का संस्करण 2.17.1 सोमवार को (के जरिए ब्लिपिंग कंप्यूटर), जो मुख्य रूप से लेबल किए गए सुरक्षा दोष को संबोधित करता है सीवीई-2021-44832. यदि हमलावर Log4j लॉगिंग कॉन्फ़िगरेशन फ़ाइल को नियंत्रित करने में सक्षम है, तो भेद्यता संभावित रूप से JDBC Appender का उपयोग करके रिमोट कोड निष्पादन (RCE) की अनुमति दे सकती है। इस मुद्दे को "मध्यम" गंभीरता रेटिंग दी गई है, जो उस भेद्यता से कम है जिसने इसे शुरू किया था - सीवीई-2021-44228

, जिसे "क्रिटिकल" रेटिंग दी गई है। चेकमार्क्स सुरक्षा शोधकर्ता यानिव निज़्री भेद्यता की खोज के लिए श्रेय का दावा किया और इसे अपाचे सॉफ्टवेयर फाउंडेशन को रिपोर्ट करना।

अपाचे ने भेद्यता विवरण में लिखा, "Apache Log4j2 संस्करण 2.0-बीटा7 से 2.17.0 (सुरक्षा फिक्स रिलीज 2.3.2 और 2.12.4 को छोड़कर) रिमोट कोड निष्पादन (आरसीई) हमले के प्रति संवेदनशील हैं जहां एक हमलावर लॉगिंग कॉन्फ़िगरेशन फ़ाइल को संशोधित करने की अनुमति जेएनडीआई यूआरआई को संदर्भित करने वाले डेटा स्रोत के साथ जेडीबीसी एपेंडर का उपयोग करके एक दुर्भावनापूर्ण कॉन्फ़िगरेशन का निर्माण कर सकती है जो रिमोट निष्पादित कर सकती है कोड. यह समस्या Log4j2 संस्करण 2.17.1, 2.12.4 और 2.3.2 में JNDI डेटा स्रोत नामों को जावा प्रोटोकॉल तक सीमित करके ठीक की गई है।"

मूल Log4j शोषण, जिसे "Log4Shell" के रूप में भी जाना जाता है, ने कई सर्वर या एप्लिकेशन पर दुर्भावनापूर्ण कोड को निष्पादित करने की अनुमति दी जो डेटा लॉगिंग के लिए Log4j का उपयोग करते थे। क्लाउडफ्लेयर के सीईओ मैथ्यू प्रिंस ने कहा कि शोषण का इस्तेमाल किया जा रहा है 1 दिसंबर की शुरुआत में, इसे सार्वजनिक रूप से पहचाने जाने से एक सप्ताह पहले, और के अनुसार वाशिंगटन पोस्ट, Google ने 500 से अधिक इंजीनियरों को कंपनी के कोड को जांचने का काम सौंपा ताकि यह सुनिश्चित किया जा सके कि कुछ भी असुरक्षित न हो। यह भेद्यता कहीं भी उतनी गंभीर नहीं है, क्योंकि एक हमलावर को अभी भी Log4j से संबंधित कॉन्फ़िगरेशन फ़ाइल को संशोधित करने में सक्षम होने की आवश्यकता है। यदि वे ऐसा कर सकते हैं, तो संभव है कि आपके सामने बड़ी समस्याएँ हों।

यह नवीनतम रिलीज़ मूल शोषण के लिए अंतिम स्थायी समाधान होने की उम्मीद है, जिसे कई कंपनियां पहले ही अपने दम पर तय कर चुकी हैं। हालाँकि, हमने शुरुआती अपडेट के बाद से खामियों को दूर करने के लिए कई अन्य अपडेट भी देखे हैं, जिनका बाद में पता चला। सौभाग्य से, यह अंततः Log4Shell गाथा का अंत होना चाहिए।