जबकि आप Log4J 2.15.0 के उपभोग को पैच कर सकते हैं, यह समय सभी को फिर से बदलने का है। स्टेट!
डैन गुडिन
विकिमीडिया कॉमन्स/एलेक्स ई. प्रोइमोस
गुरुवार को बंद हुए विश्व को एहसास Log4J में एक महत्वपूर्ण कोड-निष्पादन शून्य-दिन के इन-द-वाइल्ड शोषण का, इस ग्रह पर हर क्लाउड कैरियर और प्रयास नेटवर्क के बारे में उचित रूप से विलुप्त होने वाली लॉगिंग उपयोगिता। लॉन्च-सोर्स बिल्डर्स ने तेजी से एक अपडेट लॉन्च किया जिसने दोष को ठीक किया और सभी उपयोगकर्ताओं से इसे तुरंत स्थापित करने का आग्रह किया।
अब, शोधकर्ता रिपोर्ट कर रहे हैं कि पैच के भीतर दो से कम कमजोरियां नहीं हैं, जिसे Log4J 2.15.0 के रूप में लॉन्च किया गया है, और यह कि हमलावर सक्रिय रूप से सटीक के विरोध में उनमें से एक या दोनों का शोषण कर रहे हैं- विश्व लक्ष्य जिन्होंने पहले ही प्रतिस्थापन लागू कर दिया है। शोधकर्ता संगठनों से आग्रह कर रहे हैं कि वे एक ब्रांड यूनिक पैच स्थापित करें, जिसे मॉडल 2.16.0 के रूप में लॉन्च किया गया है, जो कि सीवीई-2021-45046 के रूप में ट्रैक की गई भेद्यता को ठीक करने के लिए कल्पनाशील है। जितनी जल्दी मरम्मत, शोधकर्ताओं ने सुस्त मंगलवार को स्वीकार किया, “एक बार अधूरा हो गया स्पष्ट गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन में” और हमलावरों के लिए डिनायल-ऑफ़-कैरियर हमलों को अंजाम देना कल्पनाशील बना दिया, जो आमतौर पर कमजोर उत्पादों और कंपनियों को पूरी तरह से ऑफ़लाइन लेने में आसानी को प्रभावित करता है जब तक कि पीड़ित अपने सर्वर को रिबूट नहीं करते या अन्य कार्रवाई नहीं करते। मॉडल 2.16.0 “संदेश लुकअप पैटर्न के लिए पोर्क अप को हटाकर और डिफ़ॉल्ट रूप से जेएनडीआई कार्यक्षमता को अक्षम करके इस गड़बड़ी को ठीक करता है,” उपरोक्त लिंक्ड भेद्यता के अनुसार सहमत हैं।
बुधवार को, सुरक्षा फर्म प्रेटोरियन के शोधकर्ताओं ने स्वीकार किया कि 2.15.0 में एक लंबा रास्ता अधिक महत्वपूर्ण भेद्यता है – एक ज्ञान प्रकटीकरण दोष जो संभवतः भी हो सकता है प्रभावित सर्वर से ज्ञान डाउनलोड करने के लिए विलुप्त हो।
“हमारे शोध में, हमने स्वयं प्रदर्शित किया है कि 2.15.0 स्पष्ट परिस्थितियों में संवेदनशील ज्ञान के बहिष्करण की अनुमति दे सकता है, ”प्रेटोरियन शोधकर्ता नाथन स्पोर्ट्समैन ने लिखा। “हमने अपाचे बेसिस के तकनीकी मुख्य पहलुओं को पारित कर दिया है, हालांकि आज, हम दृढ़ता से अनुशंसा करते हैं कि संभावनाएं 2.16.0 जितनी तेजी से कल्पना की जा सकती हैं।” बरामद
Log4j 2.15.0 संवेदनशील ज्ञान के बहिर्गमन के लिए आरामदेह परमिट।
ज्ञानवर्धक सामग्री के लिए शोधकर्ताओं की पेशकश नेटवर्क क्लाउडफ्लेयर, अंतरिम के भीतर, बुधवार को स्वीकार किया कि CVE-2021-45046 अब सक्रिय शोषण के अधीन है। फर्म ने लोगों से यथाशीघ्र मॉडल 2.16.0 में बदलने का आग्रह किया।
क्लाउडफ्लेयर ने यह खुलासा नहीं किया कि क्या हमलावर DoS हमलों को अंजाम देने के लिए सबसे आसान भेद्यता का उपभोग कर रहे हैं या यदि इसके अलावा वे ज्ञान पर निर्णय लेने के लिए इसका फायदा उठा रहे हैं। Cloudflare के शोधकर्ता सही ठहराने के लिए सीधे हाथ में नहीं थे। प्रेटोरियन शोधकर्ता इसके अलावा सीधे इस अवसर पर संबंधित नहीं थे कि वे समाधान-निष्कर्षण दोष का फायदा उठाने वाले इन-द-वाइल्ड हमलों के प्रति चौकस हैं। इसके अलावा उन्होंने भेद्यता से संबंधित अतिरिक्त मुख्य पहलुओं को प्रस्तुत नहीं किया, क्योंकि वे उस ज्ञान को प्रस्तुत करने की कोशिश नहीं कर रहे थे जो हैकर्स के लिए इसका फायदा उठाने के लिए इसे और अधिक सरल रूप से प्रभावित करेगा।