Log4Shell, একটি ইন্টারনেট দুর্বলতা, সম্প্রতি লক্ষ লক্ষ মেশিনকে প্রভাবিত করেছে৷ Log4j, সফ্টওয়্যারের একটি অস্পষ্ট অথচ প্রায় সর্বব্যাপী অংশ, এটি ঘটায়।
Log4j বিভিন্ন কম্পিউটার সিস্টেমে পর্দার আড়ালে ঘটতে থাকা সমস্ত ক্রিয়াগুলি লগ করতে ব্যবহৃত হয়।
এটি একটি ওপেন-সোর্স লগিং লাইব্রেরির উপর ভিত্তি করে যা ব্যবসা এবং এমনকি সরকারী সংস্থাগুলি বেশিরভাগ অ্যাপ্লিকেশনগুলিতে ব্যবহার করে।
এখন পর্যন্ত উন্মোচিত সবচেয়ে খারাপ সাইবার নিরাপত্তা গর্তগুলির মধ্যে একটি হওয়ায়, এই দুর্বলতা থেকে আপনার সিস্টেমগুলিকে রক্ষা করা গুরুত্বপূর্ণ৷ কিন্তু কিভাবে?
আসুন বিস্তারিতভাবে Log4j দুর্বলতা এবং এর জন্য সম্ভাব্য সব সমাধানের অন্বেষণ করি।
Log4j কি?
Log4j হল একটি ওপেন সোর্স লগিং ফ্রেমওয়ার্ক যা সফ্টওয়্যার বিকাশকারীদের তাদের অ্যাপ্লিকেশনের মধ্যে বিভিন্ন ডেটা রেকর্ড করতে সক্ষম করে। এটি Apache Logging Services প্রকল্পের একটি উপাদান, যা দ্বারা পরিচালিত হয় অ্যাপাচি সফটওয়্যার ফাউন্ডেশন.
শত শত ওয়েবসাইট এবং অ্যাপস ডিবাগিং এবং অন্যান্য ব্যবহারের জন্য লগিং ডেটার মতো জটিল ক্রিয়াকলাপ সম্পাদন করতে Log4j ব্যবহার করে।
আপনি যখন একটি খারাপ অনলাইন লিঙ্ক ইনপুট করেন বা ক্লিক করেন এবং একটি 404 ত্রুটি বিজ্ঞপ্তি পান, এটি কর্মক্ষেত্রে Log4j এর একটি ঘন ঘন উদাহরণ। আপনি যে ওয়েব লিঙ্কটি অ্যাক্সেস করার চেষ্টা করেছেন তার ডোমেনটি চালায় এমন ওয়েব সার্ভার আপনাকে জানায় যে এই ধরনের কোনো ওয়েবপৃষ্ঠা বিদ্যমান নেই৷ এটি সার্ভারের সিস্টেম অ্যাডমিনিস্ট্রেটরদের জন্য Log4j এ ইভেন্টটি লগ করে।
সফ্টওয়্যার প্রোগ্রাম জুড়ে, অনুরূপ ডায়গনিস্টিক সংকেত নিযুক্ত করা হয়। অনলাইন গেম মাইনক্রাফ্টে, উদাহরণস্বরূপ, সার্ভারটি লগ 4j ব্যবহার করে অ্যাক্টিভিটি লগ করার জন্য যেমন ব্যবহৃত মোট RAM এবং ব্যবহারকারীর নির্দেশাবলী কনসোলে পাঠানো।
কিভাবে দুর্বলতা ঘটবে?
লুকআপ হল Log4j 2.0-এ প্রবর্তিত একটি নতুন বৈশিষ্ট্য, যা লগ এন্ট্রিতে অতিরিক্ত তথ্য অন্তর্ভুক্ত করতে সাহায্য করে। এই লুকআপগুলির মধ্যে একটি হল JNDI (জাভা নামকরণ এবং ডিরেক্টরি ইন্টারফেস) লুকআপ, যা একটি ডিরেক্টরি পরিষেবার সাথে যোগাযোগের জন্য একটি জাভা API।
এই পদ্ধতি ব্যবহার করে, অভ্যন্তরীণ ব্যবহারকারী আইডিগুলি প্রকৃত ব্যবহারকারীর নামের সাথে ম্যাপ করা যেতে পারে। এই ক্যোয়ারীটি নতুন আবিষ্কৃত RCE দুর্বলতা প্রকাশ করে, যেহেতু LDAP সার্ভার দ্বারা সরবরাহ করা ডেটা টাইপগুলির মধ্যে একটি হল একটি URI যা একটি জাভা ক্লাসের দিকে নির্দেশ করে, যা পরে মেমরিতে লোড হয় এবং Log4j উদাহরণ দ্বারা চালিত হয়।
Log4j লাইব্রেরির ইনপুট যাচাইকরণে দুর্বলতার কারণে, একটি অবিশ্বস্ত উৎস থেকে একটি নির্বিচারে LDAP সার্ভার ইনজেক্ট করা সম্ভব। কারণ বিকাশকারীরা অনুমান করে যে লগগুলিতে পাঠানো ডেটা প্লেইন টেক্সট হিসাবে পরিচালনা করা হবে, কোনও অতিরিক্ত ইনপুট বৈধতা নেওয়া হয় না এবং বিপজ্জনক ব্যবহারকারীর ইনপুট লগগুলিতে প্রবেশ করে।
একটি লগ বিবৃতি এই মত দেখতে হতে পারে:
একটি দূষিত ব্যবহারকারী এখন একটি ইউআরএল প্যারামিটারে একটি দুর্বৃত্ত LDAP সার্ভারের উল্লেখ করে একটি JNDI লুকআপ সন্নিবেশ করবে। JNDI লুকআপ নিম্নরূপ হবে:
Log4j লাইব্রেরি তারপর Java Factory এবং Java Codebase-এর মান সহ ডিরেক্টরির তথ্য পেতে attacker.com-এ এই LDAP সার্ভারের সাথে কথা বলে।
এই দুটি মান আক্রমণকারীর জাভা ক্লাস অন্তর্ভুক্ত করে, যা পরে মেমরিতে লোড করা হয় এবং Log4j ইন্সট্যান্স দ্বারা কার্যকর করা হয়, কোড এক্সিকিউশন সম্পূর্ণ করে।
কে ঝুঁকিতে আছে?
Log4j দুর্বলতা অবিশ্বাস্যভাবে বিস্তৃত, যা ব্যবসায়িক অ্যাপ্লিকেশন, এমবেডেড ডিভাইস এবং তাদের সাবসিস্টেমকে প্রভাবিত করে। প্রভাবিত অ্যাপের মধ্যে রয়েছে Cisco Webex, Minecraft, এবং FileZilla FTP।
যাইহোক, এটি কোনভাবেই একটি সম্পূর্ণ তালিকা নয়। ত্রুটিটি এমনকি Ingenuity Mars 2020 চপার মিশনকেও প্রভাবিত করে, যা ইভেন্ট রেকর্ডিংয়ের জন্য Apache Log4j ব্যবহার করে।
নিরাপত্তা সম্প্রদায় একটি সংকলন করেছে দুর্বল সিস্টেমের তালিকা. এটি লক্ষ্য করা গুরুত্বপূর্ণ যে এই তালিকাগুলি ক্রমাগত আপডেট হচ্ছে, তাই যদি একটি নির্দিষ্ট প্রোগ্রাম বা সিস্টেম বৈশিষ্ট্যযুক্ত না হয় তবে অনুমান করবেন না যে এটি প্রভাবিত হয়নি।
এই দুর্বলতা এক্সপোজার বেশ সম্ভাবনা, এবং এমনকি যদি একটি নির্দিষ্ট প্রযুক্তি স্ট্যাক জাভা প্রযোজ্য নয়, নিরাপত্তা আধিকারিকদের সমালোচনামূলক সরবরাহকারী সিস্টেম, SaaS সরবরাহকারী, ক্লাউড হোস্টিং প্রদানকারী এবং ওয়েব সার্ভার প্রদানকারীর কাছে আশা করা উচিত।
কিভাবে Log4j দুর্বলতা পরীক্ষা করবেন?
একটি আক্রমণ ইতিমধ্যে ঘটেছে কিনা তা নির্ধারণ করা প্রথম পদক্ষেপ। আপনি RCE পেলোড টুকরাগুলির জন্য সিস্টেম লগগুলি পরীক্ষা করে তা করতে পারেন।
যদি “jndi”, “ldap”, বা “$::”-এর মতো শব্দের অনুসন্ধানে কোনো লগ পাওয়া যায়, তাহলে নিরাপত্তা গবেষকদের আরও অন্বেষণ করা উচিত যে এটি একটি বৈধ আক্রমণ ছিল নাকি নিছক আঙুলের ছাপ ছিল।
বন্য অঞ্চলে অনেক আক্রমণ আবিষ্কৃত হয়েছে যা কোনো ক্ষতিকারক পেলোড সরবরাহ করেনি। তা সত্ত্বেও, কতগুলি অ্যাপ এই আক্রমণের জন্য ঝুঁকিপূর্ণ তা নির্ধারণ করতে নিরাপত্তা বিশেষজ্ঞদের দ্বারা সেগুলি করা হয়েছিল৷
পরবর্তী ধাপ হল সমস্ত প্রকল্প সনাক্ত করতে Log4j লাইব্রেরি ব্যবহার করা। যদি 2.0-beta9 এবং 2.14.1 এর মধ্যে সংস্করণ ব্যবহার করা হয়, তাহলে প্রকল্পটি সংবেদনশীল হতে পারে।
এই দুর্বলতা কোথায় বিদ্যমান তা নির্ধারণে অসুবিধার পরিপ্রেক্ষিতে, প্রকল্পটি সংবেদনশীল বলে অনুমান করা বাঞ্ছনীয় হতে পারে এবং লাইব্রেরি আপডেট করা কোড কার্যকর করার বিপদ দূর করার জন্য সর্বোত্তম পদক্ষেপ।
ব্যবহৃত সংস্করণটি 2.0-বিটা 9-এর কম হলে প্রকল্পটি দুর্বল নয়, যদিও Log4j লাইব্রেরিটি এখনও আপগ্রেড করা উচিত কারণ 1.x পরিসরের সংস্করণগুলি পুরানো এবং আর আপডেটগুলি পায় না৷
একটি সংবেদনশীল প্রকল্প আবিষ্কৃত হয়েছে কিনা, এটি Log4j ব্যবহার করে লগ করা কোনো তথ্য ব্যবহারকারী পরিবর্তন করতে পারে এমন তথ্য রয়েছে কিনা তা পরীক্ষা করার পরামর্শ দেওয়া হয়। ইউআরএল, রিকোয়েস্ট প্যারামিটার, হেডার এবং কুকিজ এই ডেটার উদাহরণ। যদি এর মধ্যে একটি লগ ইন করা হয়, তাহলে প্রকল্পটি ঝুঁকির মধ্যে রয়েছে।
এই জ্ঞান আপনাকে সিস্টেম লগগুলিতে আরও অনুসন্ধান করতে এবং আপনার ওয়েব অ্যাপ্লিকেশন ইতিমধ্যে আক্রমণ করা হয়েছে কিনা তা নির্ধারণ করতে সহায়তা করতে পারে।
একটি ওয়েব অ্যাপ্লিকেশন দুর্বল কিনা তা সনাক্ত করতে বিনামূল্যে অনলাইন টুল আছে. এই প্রোগ্রামগুলির মধ্যে একটি হল Log4Shell শিকারী. এটি ওপেন সোর্স এবং এতে উপলব্ধ GitHub.
যদি অনলাইন অ্যাপ্লিকেশনে কোডের একটি দুর্বল এলাকা আবিষ্কৃত হয়, তাহলে প্রকাশ করা টুল দ্বারা প্রদত্ত পেলোডটি ওয়েব অ্যাপ্লিকেশনে ইনজেক্ট করতে ব্যবহার করা যেতে পারে। পরীক্ষার সরঞ্জামটি আপনার ওয়েব অ্যাপ্লিকেশন এবং তাদের LDAP সার্ভারের মধ্যে তৈরি সংযোগগুলি প্রকাশ করবে যদি দুর্বলতাটি কাজে লাগানো হয়।
Log4j দুর্বলতা ঠিক করার সমাধান
প্রথম ধাপ হল Log4j আপডেট করা, যা আপনি সাধারণ প্যাকেজ ম্যানেজার ব্যবহার করে বা সরাসরি এখান থেকে ডাউনলোড করে করতে পারেন পৃষ্ঠা.
পরিবেশ পরিবর্তনশীল FORMAT MSG NO LOOKUPS কে সত্যে সেট করে দুর্বলতার শোষণ হ্রাস করাও সম্ভব। এই পাল্টা ব্যবস্থা, যাইহোক, শুধুমাত্র Log4j সংস্করণের জন্য প্রযোজ্য যা 2.10 এর থেকে বেশি বা সমান।
এখন বিকল্প বিকল্প বিবেচনা করা যাক।
1. Log4j সংস্করণ 2.17.0 এর জন্য সমাধান
Log4Shell থেকে রক্ষা করার জন্য Log2.15.0j সংস্করণ 4 ব্যবহার করার জন্য অবশ্যই দৃঢ়ভাবে পরামর্শ দেওয়া হচ্ছে, তবে, যদি এটি সম্ভব না হয় তবে অন্যান্য সমাধান পাওয়া যায়।
Log2.7.0j এর 4 এবং পরবর্তী সংস্করণ: ব্যবহারকারীর দ্বারা সরবরাহ করা ডেটার জন্য শতাংশ m nolookups সিনট্যাক্স ব্যবহার করে লগ ইন করা ইভেন্টগুলির বিন্যাস পরিবর্তন করে যেকোনো আক্রমণ থেকে রক্ষা করা সম্ভবপর। এই আপডেটের জন্য প্রোগ্রামের একটি নতুন সংস্করণ তৈরি করতে Log4j কনফিগারেশন ফাইল সম্পাদনা করতে হবে। ফলস্বরূপ, এই নতুন সংস্করণটি স্থাপন করার আগে, প্রযুক্তিগত এবং কার্যকরী বৈধতার পর্যায়গুলি পুনরাবৃত্তি করতে হবে।
Log4j সংস্করণ 2.10.0 এবং পরবর্তী: log4j2.formatMsgNoLookups কনফিগারেশন প্যারামিটারটিকে সত্যে সেট করে যেকোন আক্রমণ থেকে রক্ষা করাও সম্ভব, উদাহরণস্বরূপ, -Dlog4j2 বিকল্পের সাথে জাভা ভার্চুয়াল মেশিন শুরু করার সময়৷ formatMsgNoLookups = সত্য, আরেকটি বিকল্প হল ক্লাসপথ আর্গুমেন্ট থেকে JndiLookup ক্লাসটি সরিয়ে ফেলা, যা মূল আক্রমণ ভেক্টরকে সরিয়ে দেবে (গবেষকরা অন্য আক্রমণ ভেক্টরের সম্ভাবনা উড়িয়ে দেন না)।
Amazon Web Services একটি হটপ্যাচ প্রদান করে যা "আপনার নিজের ঝুঁকিতে ব্যবহার করা উচিত।" অন্যান্য "কৌশল", যেমন Logout4Shell, যা "নিজের বিরুদ্ধে এই দুর্বলতা ব্যবহার করে" প্রকাশিত হয়েছে৷ নিরাপত্তা বিশেষজ্ঞ এই পদক্ষেপের বৈধতা নিয়ে প্রশ্ন তোলেন, যার মধ্যে "এটি ঠিক করার জন্য একটি মেশিন হ্যাক করা" জড়িত।
2. Log4j v2.17.0 এ সমস্যার সমাধান করা হয়েছে৷
2.10-এর চেয়ে বড় সংস্করণগুলির জন্য: Log4j2.formatMsgNoLookups সত্যে সেট করা উচিত৷
2.0 থেকে 2.10.0 সংস্করণের জন্য: Log4j থেকে LDAP ক্লাস সরাতে নিম্নলিখিত কমান্ডটি চালান।
Log4j2.formatMsgNoLookups সিস্টেম সেটিংসে সত্য সেট করা উচিত।
JVM এ প্রশমন
JVM পরামিতিগুলির সাথে প্রশমিত করা আর একটি বিকল্প নয়। অন্যান্য প্রশমন পদ্ধতি সফল হতে থাকে। সম্ভব হলে Log4j সংস্করণ 2.17.0 এ আপগ্রেড করুন। Log4j v1 এর জন্য একটি মাইগ্রেশন গাইড উপলব্ধ রয়েছে।
যদি একটি আপডেট সম্ভব না হয়, নিশ্চিত করুন যে ক্লায়েন্ট-সাইড এবং সার্ভার-সাইড উপাদানগুলিতে -Dlog4j2.formatMsgNoLookups = সত্যিকারের সিস্টেম সম্পত্তি সেট আছে।
অনুগ্রহ করে মনে রাখবেন যে Log4j v1 এর জীবনের শেষ (EOL) পৌঁছে গেছে এবং আর বাগ ফিক্স পাবেন না। অন্যান্য RCE ভেক্টরগুলিও Log4j v1 এর জন্য সংবেদনশীল। তাই, আমরা অনুরোধ করছি যে আপনি যত তাড়াতাড়ি সম্ভব Log4j 2.17.0-এ আপগ্রেড করুন৷
3. প্রশমন ব্যবস্থা
Log4j কিছু ক্ষেত্রে সংবেদনশীল হলেও বর্তমান শোষণ কাজ করতে পারে না, যেমন হোস্ট মেশিনটি 6u212, 7u202, 8u192, বা 11.0.2 এর চেয়ে বেশি জাভা সংস্করণ চালাচ্ছে।
এটি বর্তমান সংস্করণগুলিতে আরও ভাল জাভা নামকরণ এবং ডিরেক্টরি ইন্টারফেস (JNDI) রিমোট ক্লাস লোডিং সুরক্ষার কারণে হয়েছে, যা আক্রমণ পরিচালনার জন্য প্রয়োজনীয়।
অধিকন্তু, 4-এর থেকে বড় Log2.10j সংস্করণগুলির সাথে, সমস্যাটি এড়ানো যেতে পারে ফর্ম্যাটMsgNoLookups সিস্টেমের মান সত্যে সেট করে, JVM যুক্তি প্রদান করে -Dlog4j2.formatMsgNoLookups = true, অথবা ক্লাসপথ থেকে JndiLookup ক্লাস মুছে ফেলার মাধ্যমে।
ইতিমধ্যে, দুর্বল দৃষ্টান্তগুলি ঠিক না হওয়া পর্যন্ত, নিম্নোক্ত কৌশলগুলি ব্যবহার করে দুর্বলতা মোকাবেলা করা যেতে পারে:
- >=4 এর জন্য সিস্টেম প্রপার্টি log2j2.10.formatMsgNoLookups কে সত্যে সেট করুন।
- পরিবেশ বিকল্প LOG4J FORMAT MSG NO LOOKUPS-এর জন্য সত্যে >=2.10 সেট করুন।
- 2.0-beta9 থেকে 2.10.0 পর্যন্ত ক্লাসপথ থেকে JndiLookup.class সরান: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
একটি প্রস্তাবিত সর্বোত্তম অভ্যাস হল ইন্টারনেটে প্রস্থান ট্র্যাফিক শুধুমাত্র উপযুক্ত পোর্টগুলিতে সীমাবদ্ধ করা।
যদিও ক্ষেত্রের বেশিরভাগ আক্রমণ HTTP-এর মাধ্যমে বিতরণ করা হয়, তবে Log4j ব্যবহার করে ব্যবহারকারীর ইনপুট ডেটা লগ করা যে কোনও প্রোটোকলের মাধ্যমে দুর্বলতাকে কাজে লাগানো যেতে পারে।
যাইহোক, log4j 2.17.0-এ আপডেট করা হল সর্বোত্তম প্রতিকার কারণ কেউ সমস্যাটির জন্য একটি অতিরিক্ত পদ্ধতি আবিষ্কার করতে পারে। অধিকন্তু, অনেক প্রকাশক এবং নির্মাতারা তাদের পরিষেবা বা অ্যাপগুলির উন্নতির ঘোষণা দিয়েছেন।
4. Log4Shell দুর্বলতা প্যাচ
Log4j সর্বব্যাপী, বিশেষ করে এখন যে দুর্বলতা শোষণ করা হচ্ছে। সারসংক্ষেপ করার জন্য, আপনাকে যা করতে হবে তা হল Log4j দ্বারা পরিদর্শিত লগগুলিতে নিম্নলিখিত অক্ষরগুলি অন্তর্ভুক্ত করা।
এবং এটি ইউআরএল-এর শেষে অবস্থিত জাভা ফাইলটি ডাউনলোড এবং কার্যকর করবে। এটা নাটকীয় হিসাবে সহজবোধ্য.
আপনি জানেন যে, এই Log4Shell দুর্বলতা (CVE-2.17.0-4) প্রতিকারের জন্য log2021j-কে >= 44228 সংস্করণে আপগ্রেড করা গুরুত্বপূর্ণ।
যদি এটি সম্ভব না হয়:
যে অ্যাপ্লিকেশানগুলি Log4j লাইব্রেরি সংস্করণ 2.10.0 এবং পরবর্তী ব্যবহার করে, তাদের জন্য কনফিগারেশন প্যারামিটার log4j2.formatMsgNoLookups কে সত্যে সেট করে যেকোনো আক্রমণ থেকে রক্ষা করা সম্ভব, উদাহরণস্বরূপ, -Dlog4j2.formatMsgNoLookups = true দিয়ে জাভা ভার্চুয়াল মেশিন চালু করার সময় বিকল্প
আরেকটি বিকল্প হল ক্লাসপথ আর্গুমেন্ট থেকে JndiLookup ক্লাস মুছে ফেলা, যা প্রাথমিক আক্রমণ ভেক্টরকে সরিয়ে দেবে (গবেষকরা অন্য আক্রমণ ভেক্টরের অস্তিত্বকে অস্বীকার করেন না)।
বিঃদ্রঃ
যে সংস্থাগুলি সংবেদনশীল সিস্টেমগুলির সাথে সামঞ্জস্য করতে দ্বিধাগ্রস্ত বা অনিচ্ছুক (বা যারা অতিরিক্ত সুরক্ষা ব্যবস্থা ইনস্টল করতে ইচ্ছুক) তাদের চিন্তা করা উচিত:
- নিশ্চিত করুন যে সমস্ত ট্র্যাফিক একটি iSensor/ এর মাধ্যমে রুট করা হয়েছেWAF/আইপিএস। এটি আক্রমণটিকে সিস্টেমে অ্যাক্সেস পেতে বাধা দিতে পারে।
- সংবেদনশীল সিস্টেমে পৌঁছাতে পারে এমন ট্র্যাফিকের পরিমাণ সীমিত করা যদি সিস্টেমটির ইন্টারনেটের সাথে সংযুক্ত হওয়ার প্রয়োজন না হয়, তবে কেবলমাত্র প্রয়োজনীয় এবং বিশ্বস্ত IPS এবং রেঞ্জগুলিতে অ্যাক্সেস সীমাবদ্ধ করুন।
- হোস্টের অনুমোদিত বহির্গামী ট্রাফিক হ্রাস করা। যেহেতু এই আক্রমণটি একটি দুর্বৃত্ত সার্ভারের সাথে সংযোগ করে কাজ করে, তাই সমস্ত অতিরিক্ত আইপি ঠিকানা এবং পোর্টগুলি ফায়ারওয়ালে ব্লক করা উচিত।
- পরিষেবাটির আর প্রয়োজন না হলে, একটি ফিক্স প্রস্তুত না হওয়া পর্যন্ত এটি অক্ষম করা উচিত।
উপসংহার
Log4j ত্রুটিগুলি আমাদের সম্প্রদায়কে হতবাক করেছে এবং আমাদের সকলকে মনে করিয়ে দিয়েছে যে আমরা ওপেন-সোর্স সফ্টওয়্যারের উপর কতটা নির্ভরশীল।
Log4j অনন্য। এটি একটি অপারেটিং সিস্টেম নয়, এটি একটি ব্রাউজারও নয় বা এটি একটি সফ্টওয়্যারও নয়৷ বরং, এটিকে প্রোগ্রামাররা একটি লাইব্রেরি, একটি প্যাকেজ বা একটি কোড মডিউল হিসাবে উল্লেখ করে। এটি শুধুমাত্র একটি উদ্দেশ্য পরিবেশন করে, সেটি হল, সার্ভারে কী ঘটছে তার রেকর্ড রাখা।
যারা কোড লেখেন তারা তাদের সফ্টওয়্যারকে স্বাতন্ত্র্যসূচক করে তোলে তার উপর মনোনিবেশ করতে পছন্দ করেন। তারা চাকা নতুন করে উদ্ভাবন করতে আগ্রহী নয়। ফলস্বরূপ, তারা Log4j এর মতো বিদ্যমান কোড লাইব্রেরির আধিক্যের উপর নির্ভর করে।
Log4j মডিউলটি Apache থেকে নেওয়া হয়েছে, সবচেয়ে ব্যাপকভাবে ব্যবহৃত ওয়েব সার্ভার সফ্টওয়্যার। এজন্য লক্ষ লক্ষ সার্ভারে এটি আবিষ্কার করা যেতে পারে। তাই নিরাপত্তার হুমকি বাড়ছে।
আমি আশা করি উপরের সমাধানগুলি আপনাকে আপনার ডিভাইসগুলিকে সুরক্ষিত রাখতে সাহায্য করবে।
প্রযুক্তি জগতের আরও সহায়ক তথ্যের জন্য হ্যাশডর্কের সাথে থাকুন।
নির্দেশিকা সমন্ধে মতামত দিন