Log4Shell, એક ઇન્ટરનેટ નબળાઈએ તાજેતરમાં લાખો મશીનોને અસર કરી છે. Log4j, સોફ્ટવેરનો અસ્પષ્ટ છતાં લગભગ સર્વવ્યાપક ભાગ, તેનું કારણ બને છે.
Log4j નો ઉપયોગ વિવિધ કમ્પ્યુટર સિસ્ટમ્સમાં પડદા પાછળ થતી તમામ ક્રિયાઓને લોગ કરવા માટે થાય છે.
તે ઓપન-સોર્સ લૉગિંગ લાઇબ્રેરી પર આધારિત છે જેનો ઉપયોગ મોટાભાગની એપ્લિકેશન્સમાં વ્યવસાયો અને સરકારી સંસ્થાઓ દ્વારા કરવામાં આવે છે.
અત્યાર સુધીના સૌથી ખરાબ સાયબર સુરક્ષા છિદ્રોમાંના એક હોવાને કારણે, તમારી સિસ્ટમ્સને આ નબળાઈથી સુરક્ષિત કરવી મહત્વપૂર્ણ છે. પરંતુ કેવી રીતે?
ચાલો Log4j ની નબળાઈ અને તેના માટેના તમામ સંભવિત ફિક્સ સોલ્યુશન્સનું વિગતવાર અન્વેષણ કરીએ.
Log4j શું છે?
Log4j એક છે ખુલ્લા સ્ત્રોત લોગીંગ ફ્રેમવર્ક જે સોફ્ટવેર ડેવલપર્સને તેમની એપ્લિકેશનમાં અલગ-અલગ ડેટા રેકોર્ડ કરવા સક્ષમ બનાવે છે. તે અપાચે લોગીંગ સર્વિસીસ પ્રોજેક્ટનો એક ઘટક છે, જે દ્વારા ચલાવવામાં આવે છે અપાચે સોફ્ટવેર ફાઉન્ડેશન.
સેંકડો વેબસાઇટ્સ અને એપ્લિકેશનો ડિબગીંગ અને અન્ય ઉપયોગો માટે લોગિંગ ડેટા જેવી જટિલ કામગીરી કરવા માટે Log4j નો ઉપયોગ કરે છે.
જ્યારે તમે નબળી ઓનલાઈન લિંકને ઇનપુટ કરો છો અથવા ક્લિક કરો છો અને 404 ભૂલની સૂચના મેળવો છો, ત્યારે આ કામ પર લોગ4jનું વારંવારનું ઉદાહરણ છે. તમે જે વેબ લિંકને ઍક્સેસ કરવાનો પ્રયાસ કર્યો છે તેના ડોમેનને ચલાવતું વેબ સર્વર તમને જાણ કરે છે કે આવું કોઈ વેબપેજ અસ્તિત્વમાં નથી. તે સર્વરના સિસ્ટમ સંચાલકો માટે Log4j માં ઇવેન્ટને પણ લોગ કરે છે.
સમગ્ર સોફ્ટવેર પ્રોગ્રામમાં, સમાન ડાયગ્નોસ્ટિક સિગ્નલોનો ઉપયોગ કરવામાં આવે છે. ઓનલાઈન ગેમ માઈનક્રાફ્ટમાં, ઉદાહરણ તરીકે, સર્વર લોગ4j નો ઉપયોગ કરે છે, જેમ કે કુલ RAM વપરાયેલ અને કન્સોલમાં મોકલેલ વપરાશકર્તા સૂચનાઓ.
નબળાઈ કેવી રીતે થાય છે?
લુકઅપ્સ એ Log4j 2.0 માં રજૂ કરાયેલ એક નવી સુવિધા છે, જે લોગ એન્ટ્રીઓમાં વધારાની માહિતી સામેલ કરવામાં મદદ કરે છે. આ લુકઅપ્સમાંથી એક JNDI (જાવા નામકરણ અને ડિરેક્ટરી ઈન્ટરફેસ) લુકઅપ છે, જે ડિરેક્ટરી સેવા સાથે વાતચીત કરવા માટે Java API છે.
આ અભિગમનો ઉપયોગ કરીને, આંતરિક વપરાશકર્તા ID ને વાસ્તવિક વપરાશકર્તા નામો સાથે મેપ કરી શકાય છે. આ ક્વેરી નવી શોધાયેલ RCE નબળાઈને છતી કરે છે, કારણ કે LDAP સર્વર દ્વારા પૂરા પાડવામાં આવેલ ડેટા પ્રકારો પૈકી એક જાવા ક્લાસ તરફ નિર્દેશ કરતો URI છે, જે પછી મેમરીમાં લોડ થાય છે અને Log4j ઉદાહરણ દ્વારા ચલાવવામાં આવે છે.
Log4j લાઇબ્રેરીની ઇનપુટ માન્યતામાં નબળાઇને કારણે, અવિશ્વસનીય સ્ત્રોતમાંથી મનસ્વી LDAP સર્વરને ઇન્જેક્ટ કરવું શક્ય છે. કારણ કે વિકાસકર્તાઓ ધારે છે કે લોગ પર મોકલવામાં આવેલ ડેટા સાદા ટેક્સ્ટ તરીકે હેન્ડલ કરવામાં આવશે, કોઈ વધારાની ઇનપુટ માન્યતા હાથ ધરવામાં આવતી નથી, અને જોખમી વપરાશકર્તા ઇનપુટ લોગમાં પ્રવેશ કરે છે.
લોગ સ્ટેટમેન્ટ આના જેવું દેખાઈ શકે છે:
દૂષિત વપરાશકર્તા હવે URL પેરામીટરમાં ઠગ LDAP સર્વરનો ઉલ્લેખ કરીને JNDI લુકઅપ દાખલ કરશે. JNDI લુકઅપ નીચે મુજબ હશે:
Log4j લાઇબ્રેરી પછી Java Factory અને Java Codebase માટેના મૂલ્યો સહિતની ડિરેક્ટરી માહિતી મેળવવા માટે attacker.com પર આ LDAP સર્વર સાથે વાત કરે છે.
આ બે મૂલ્યોમાં હુમલાખોરના જાવા વર્ગનો સમાવેશ થાય છે, જે પછી મેમરીમાં લોડ થાય છે અને Log4j દાખલા દ્વારા ચલાવવામાં આવે છે, કોડ એક્ઝેક્યુશન પૂર્ણ કરે છે.
કોને જોખમ છે?
Log4j નબળાઈ અદ્ભુત રીતે વ્યાપક છે, જે વ્યવસાયિક એપ્લિકેશનો, એમ્બેડેડ ઉપકરણો અને તેમની સબસિસ્ટમને અસર કરે છે. અસરગ્રસ્ત એપ્લિકેશન્સમાં Cisco Webex, Minecraft અને FileZilla FTPનો સમાવેશ થાય છે.
જો કે, આ એક સંપૂર્ણ સૂચિ નથી. આ ખામી ઇન્જેન્યુઇટી માર્સ 2020 હેલિકોપ્ટર મિશનને પણ અસર કરે છે, જે ઇવેન્ટ રેકોર્ડિંગ માટે Apache Log4j નો ઉપયોગ કરે છે.
સુરક્ષા સમુદાયે એક સંકલન કર્યું છે સંવેદનશીલ સિસ્ટમોની યાદી. એ નોંધવું મહત્વપૂર્ણ છે કે આ સૂચિઓ સતત અપડેટ થઈ રહી છે, તેથી જો કોઈ ચોક્કસ પ્રોગ્રામ અથવા સિસ્ટમ દર્શાવવામાં આવતી નથી, તો ધારો નહીં કે તે પ્રભાવિત નથી.
આ નબળાઈ માટે એક્સપોઝર તદ્દન સંભવિત છે, અને ભલે ચોક્કસ ટેક સ્ટેક જાવા લાગુ પડતું નથી, સુરક્ષા અધિકારીઓએ જટિલ સપ્લાયર સિસ્ટમ્સ, SaaS સપ્લાયર્સ, ક્લાઉડ હોસ્ટિંગ પ્રદાતાઓ અને વેબ સર્વર પ્રદાતાઓ પાસેથી તેમ કરવાની અપેક્ષા રાખવી જોઈએ.
Log4j નબળાઈ કેવી રીતે તપાસવી?
પ્રથમ પગલું એ નિર્ધારિત કરવાનું છે કે હુમલો પહેલેથી જ થયો છે કે કેમ. તમે RCE પેલોડ ટુકડાઓ માટે સિસ્ટમ લોગ તપાસીને આમ કરી શકો છો.
જો “jndi”, “ldap”, અથવા “$::” જેવા શબ્દોની શોધમાં કોઈ લોગ મળે છે, તો સુરક્ષા સંશોધકોએ એ જોવા માટે વધુ અન્વેષણ કરવું જોઈએ કે તે કાયદેસરનો હુમલો હતો કે માત્ર ફિંગરપ્રિન્ટિંગ.
જંગલમાં ઘણા હુમલાઓ મળી આવ્યા હતા જે કોઈપણ હાનિકારક પેલોડ પહોંચાડતા ન હતા. તેમ છતાં, આ હુમલા માટે કેટલી એપ્લિકેશનો સંવેદનશીલ હતી તે નિર્ધારિત કરવા માટે તેઓ સુરક્ષા નિષ્ણાતો દ્વારા હાથ ધરવામાં આવ્યા હતા.
આગળનું પગલું એ બધા પ્રોજેક્ટ્સને ઓળખવા માટે Log4j લાઇબ્રેરીનો ઉપયોગ કરવાનું છે. જો 2.0-beta9 અને 2.14.1 વચ્ચેના વર્ઝનનો ઉપયોગ કરવામાં આવે, તો પ્રોજેક્ટ સંવેદનશીલ બની શકે છે.
આ નબળાઈ ક્યાં અસ્તિત્વમાં છે તે નિર્ધારિત કરવામાં મુશ્કેલીને જોતાં, પ્રોજેક્ટ સંવેદનશીલ છે અને લાઇબ્રેરીને અપડેટ કરવી એ કોડ એક્ઝિક્યુશનના જોખમને દૂર કરવા માટે શ્રેષ્ઠ પગલાં છે.
જો વપરાયેલ સંસ્કરણ 2.0-બીટા 9 કરતા ઓછું હોય તો પ્રોજેક્ટ સંવેદનશીલ નથી, જો કે Log4j લાઇબ્રેરી હજુ પણ અપગ્રેડ થવી જોઈએ કારણ કે 1.x શ્રેણીમાંના સંસ્કરણો જૂના છે અને હવે તેને અપડેટ્સ મળતા નથી.
શું કોઈ સંવેદનશીલ પ્રોજેક્ટ શોધાયો છે, તે સલાહ આપવામાં આવે છે કે Log4j નો ઉપયોગ કરીને લૉગ કરેલી કોઈપણ માહિતીમાં વપરાશકર્તા બદલી શકે તેવી માહિતી ધરાવે છે કે કેમ તે જોવા માટે તેને તપાસવામાં આવે છે. URL, વિનંતી પરિમાણો, હેડરો અને કૂકીઝ આ ડેટાના ઉદાહરણો છે. જો આમાંથી એક લોગ થયેલ હોય, તો પ્રોજેક્ટ જોખમમાં છે.
આ જ્ઞાન તમને સિસ્ટમ લોગમાં વધુ તપાસ કરવામાં અને તમારી વેબ એપ્લિકેશન પર પહેલેથી જ હુમલો કરવામાં આવ્યો છે કે કેમ તે નક્કી કરવામાં મદદ કરી શકે છે.
ત્યાં નિઃશુલ્ક ઑનલાઇન સાધનો છે જે શોધી શકે છે કે શું વેબ એપ્લિકેશન સંવેદનશીલ છે. આમાંનો એક પ્રોગ્રામ છે Log4Shell શિકારી. તે ઓપન સોર્સ છે અને તેના પર ઉપલબ્ધ છે GitHub.
જો ઓનલાઈન એપ્લિકેશનમાં કોડનો સંવેદનશીલ વિસ્તાર મળી આવે, તો જાહેર કરેલ સાધન દ્વારા પ્રદાન કરવામાં આવેલ પેલોડનો ઉપયોગ તેને વેબ એપ્લિકેશનમાં ઇન્જેક્ટ કરવા માટે કરી શકાય છે. જો નબળાઈનો ઉપયોગ કરવામાં આવ્યો હોય તો પરીક્ષણ સાધન તમારી વેબ એપ્લિકેશન અને તેમના LDAP સર્વર વચ્ચેના જોડાણોને જાહેર કરશે.
Log4j નબળાઈને ઠીક કરવાના ઉકેલો
પ્રથમ પગલું એ Log4j અપડેટ કરવાનું છે, જે તમે સામાન્ય પેકેજ મેનેજરનો ઉપયોગ કરીને અથવા તેને સીધા આમાંથી ડાઉનલોડ કરીને કરી શકો છો. પૃષ્ઠ.
પર્યાવરણ વેરીએબલ FORMAT MSG NO LOOKUPS ને સાચા પર સેટ કરીને નબળાઈની શોષણ ઘટાડવાનું પણ શક્ય છે. જો કે, આ કાઉન્ટરમેઝર ફક્ત 4 કરતા વધારે અથવા તેના સમાન Log2.10j વર્ઝનને જ લાગુ પડે છે.
ચાલો હવે વૈકલ્પિક વિકલ્પો પર વિચાર કરીએ.
1. Log4j વર્ઝન 2.17.0 માટે વર્કઅરાઉન્ડ્સ
Log4Shell સામે રક્ષણ આપવા માટે Log2.15.0j સંસ્કરણ 4 નો ઉપયોગ કરવાની નિશ્ચિતપણે સલાહ આપવામાં આવે છે, જો કે, જો આ શક્ય ન હોય તો, અન્ય ઉકેલો ઉપલબ્ધ છે.
Log2.7.0j ની 4 અને પછીની આવૃત્તિઓ: વપરાશકર્તા દ્વારા પૂરા પાડવામાં આવેલ ડેટા માટે ટકા m નોલૂકઅપ્સ સિન્ટેક્સનો ઉપયોગ કરીને લૉગ ઇન કરવા માટેની ઇવેન્ટ્સના ફોર્મેટને બદલીને કોઈપણ હુમલા સામે રક્ષણ કરવું શક્ય છે. આ અપડેટને પ્રોગ્રામનું નવું વર્ઝન જનરેટ કરવા માટે Log4j કન્ફિગરેશન ફાઇલમાં ફેરફાર કરવાની જરૂર છે. પરિણામે, આ નવા સંસ્કરણનો ઉપયોગ કરતા પહેલા, તકનીકી અને કાર્યાત્મક માન્યતા તબક્કાઓનું પુનરાવર્તન કરવું આવશ્યક છે.
Log4j વર્ઝન 2.10.0 અને પછીના: log4j2.formatMsgNoLookups રૂપરેખાંકન પરિમાણને સાચા પર સેટ કરીને કોઈપણ હુમલા સામે રક્ષણ કરવું પણ શક્ય છે, ઉદાહરણ તરીકે, જ્યારે -Dlog4j2 વિકલ્પ સાથે Java વર્ચ્યુઅલ મશીન શરૂ કરો. formatMsgNoLookups = સાચું, બીજો વિકલ્પ એ ક્લાસપાથ દલીલમાંથી JndiLookup વર્ગને દૂર કરવાનો છે, જે મુખ્ય હુમલો વેક્ટરને દૂર કરશે (સંશોધકો બીજા હુમલા વેક્ટરની શક્યતાને નકારી કાઢતા નથી).
એમેઝોન વેબ સેવાઓ એક હોટપેચ પ્રદાન કરે છે જેનો "તમારા પોતાના જોખમે ઉપયોગ કરવો જોઈએ." અન્ય "તકનીકો," જેમ કે Logout4Shell, જે "પોતાની સામે આ નબળાઈનો ઉપયોગ કરે છે," પ્રકાશિત કરવામાં આવી છે. સુરક્ષા નિષ્ણાત આ પગલાની કાયદેસરતા પર પ્રશ્ન કરે છે, જેમાં "તેને ઠીક કરવા માટે મશીનને હેક કરવું" શામેલ છે.
2. Log4j v2.17.0 માં સમસ્યા ઉકેલાઈ ગઈ છે.
2.10 થી મોટી આવૃત્તિઓ માટે: Log4j2.formatMsgNoLookups ટ્રુ પર સેટ હોવા જોઈએ.
આવૃત્તિ 2.0 થી 2.10.0 માટે: Log4j માંથી LDAP વર્ગને દૂર કરવા માટે નીચેનો આદેશ ચલાવો.
Log4j2.formatMsgNoLookups ને સિસ્ટમ સેટિંગ્સમાં સાચું પર સેટ કરવું જોઈએ.
JVM માં શમન
JVM પરિમાણો સાથે ઘટાડાનો હવે વિકલ્પ નથી. અન્ય શમન પદ્ધતિઓ સફળ થવાનું ચાલુ રાખે છે. જો શક્ય હોય તો Log4j સંસ્કરણ 2.17.0 પર અપગ્રેડ કરો. Log4j v1 માટે સ્થળાંતર માર્ગદર્શિકા ઉપલબ્ધ છે.
જો અપડેટ શક્ય ન હોય તો, ખાતરી કરો કે ક્લાઈન્ટ-બાજુ અને સર્વર-બાજુના ઘટકો પાસે -Dlog4j2.formatMsgNoLookups = સાચી સિસ્ટમ ગુણધર્મ સેટ છે.
મહેરબાની કરીને નોંધ કરો કે Log4j v1 તેના જીવનના અંત (EOL) પર પહોંચી ગયું છે અને તે હવે બગ ફિક્સેસ પ્રાપ્ત કરશે નહીં. અન્ય RCE વેક્ટર પણ Log4j v1 માટે સંવેદનશીલ છે. તેથી, અમે વિનંતી કરીએ છીએ કે તમે શક્ય તેટલી વહેલી તકે Log4j 2.17.0 પર અપગ્રેડ કરો.
3. શમનના પગલાં
કેટલાક કિસ્સાઓમાં Log4j સંવેદનશીલ હોય તો પણ વર્તમાન શોષણ કામ કરી શકતા નથી, જેમ કે જો હોસ્ટ મશીન 6u212, 7u202, 8u192, અથવા 11.0.2 કરતાં વધુ જાવા સંસ્કરણ ચલાવી રહ્યું હોય.
આ વર્તમાન સંસ્કરણોમાં વધુ સારા જાવા નેમિંગ અને ડિરેક્ટરી ઇન્ટરફેસ (JNDI) રિમોટ ક્લાસ લોડિંગ સુરક્ષાને કારણે છે, જે હુમલાના સંચાલન માટે જરૂરી છે.
વધુમાં, 4 કરતાં મોટી Log2.10j આવૃત્તિઓ સાથે, આ સમસ્યાને formatMsgNoLookups સિસ્ટમ મૂલ્યને true પર સેટ કરીને, JVM દલીલ -Dlog4j2.formatMsgNoLookups = true પૂરી પાડીને અથવા JndiLookup વર્ગને ક્લાસપાથમાંથી કાઢી નાખીને ટાળી શકાય છે.
આ દરમિયાન, જ્યાં સુધી સંવેદનશીલ કિસ્સાઓ નિશ્ચિત ન થાય ત્યાં સુધી, નીચેની તકનીકોનો ઉપયોગ કરીને નબળાઈને દૂર કરી શકાય છે:
- >=4 માટે સિસ્ટમ પ્રોપર્ટી log2j2.10.formatMsgNoLookups ને true પર સેટ કરો.
- >=4 માટે પર્યાવરણ વિકલ્પ LOG2.10J FORMAT MSG NO LOOKUPS ને true પર સેટ કરો.
- JndiLookup.class ને 2.0-beta9 થી 2.10.0 માટે ક્લાસપાથમાંથી દૂર કરો: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
એક ભલામણ કરેલ શ્રેષ્ઠ પ્રથા એ છે કે ઇન્ટરનેટ પર બહાર નીકળવાના ટ્રાફિકને માત્ર યોગ્ય બંદરો સુધી મર્યાદિત કરો.
જો કે ક્ષેત્રમાં મોટાભાગના હુમલાઓ HTTP પર વિતરિત કરવામાં આવે છે, નબળાઈનો ઉપયોગ કોઈપણ પ્રોટોકોલ દ્વારા થઈ શકે છે જે Log4j નો ઉપયોગ કરીને વપરાશકર્તાના ઇનપુટ ડેટાને લોગ કરે છે.
જો કે, log4j 2.17.0 પર અપડેટ કરવું એ શ્રેષ્ઠ ઉપાય છે કારણ કે કોઈ વ્યક્તિ સમસ્યા માટે વધારાનો અભિગમ શોધી શકે છે. વધુમાં, ઘણા પ્રકાશકો અને ઉત્પાદકોએ તેમની સેવાઓ અથવા એપ્લિકેશન્સમાં સુધારાની જાહેરાત કરી છે.
4. Log4Shell નબળાઈ પેચ
Log4j સર્વવ્યાપી છે, ખાસ કરીને હવે જ્યારે નબળાઈનો ઉપયોગ કરવામાં આવી રહ્યો છે. સારાંશ માટે, તમારે ફક્ત Log4j દ્વારા તપાસવામાં આવેલા લૉગમાં નીચેના અક્ષરોનો સમાવેશ કરવાની જરૂર છે.
અને આ URL ના અંતમાં સ્થિત Java ફાઇલને ડાઉનલોડ અને એક્ઝિક્યુટ કરશે. તે નાટકીય છે તેટલું જ સીધું છે.
જેમ તમે જાણો છો, આ Log4Shell નબળાઈ (CVE-2.17.0-4)ને દૂર કરવા માટે log2021j ને વર્ઝન >= 44228 માં અપગ્રેડ કરવું મહત્વપૂર્ણ છે.
જો આ શક્ય ન હોય તો:
એપ્લીકેશનો કે જે Log4j લાઇબ્રેરી વર્ઝન 2.10.0 અને તેના પછીના વર્ઝનનો ઉપયોગ કરે છે, તે રૂપરેખાંકન પેરામીટર log4j2.formatMsgNoLookups ને true પર સેટ કરીને કોઈપણ હુમલા સામે રક્ષણ કરવાનું પણ શક્ય છે, ઉદાહરણ તરીકે, Java વર્ચ્યુઅલ મશીનને -Dlog4j2.formatMsgNoLookups = true સાથે શરૂ કરતી વખતે વિકલ્પ.
બીજો વિકલ્પ ક્લાસપાથ દલીલમાંથી JndiLookup ક્લાસને કાઢી નાખવાનો છે, જે પ્રાથમિક હુમલો વેક્ટરને દૂર કરશે (સંશોધકો અન્ય હુમલા વેક્ટરના અસ્તિત્વને નકારી કાઢતા નથી).
નૉૅધ
સંસ્થાઓ કે જેઓ અચકાતી હોય અથવા સંવેદનશીલ સિસ્ટમમાં એડજસ્ટમેન્ટ કરવા માટે તૈયાર ન હોય (અથવા જેઓ વધારાના સેફગાર્ડ્સ ઇન્સ્ટોલ કરવા ઈચ્છે છે) તેમણે આ વિશે વિચારવું જોઈએ:
- ખાતરી કરો કે તમામ ટ્રાફિક iSensor/ મારફતે રૂટ થયેલ છે.ડબ્લ્યુએએફ/આઈપીએસ. આ હુમલાને સિસ્ટમની ઍક્સેસ મેળવવાથી રોકી શકે છે.
- સંવેદનશીલ સિસ્ટમ સુધી પહોંચતા ટ્રાફિકની માત્રાને મર્યાદિત કરવી જો સિસ્ટમને ઇન્ટરનેટ સાથે કનેક્ટ કરવાની જરૂર ન હોય, તો માત્ર આવશ્યક અને વિશ્વાસપાત્ર IPS અને રેન્જની ઍક્સેસને પ્રતિબંધિત કરો.
- હોસ્ટના અધિકૃત આઉટગોઇંગ ટ્રાફિકને ઘટાડવો. કારણ કે આ હુમલો ઠગ સર્વર સાથે કનેક્ટ કરીને કાર્ય કરે છે, બધા અનાવશ્યક IP સરનામાંઓ અને પોર્ટ્સ ફાયરવોલ પર અવરોધિત હોવા જોઈએ.
- જો સેવાની હવે આવશ્યકતા નથી, તો જ્યાં સુધી ફિક્સ તૈયાર ન થાય ત્યાં સુધી તેને અક્ષમ કરવી જોઈએ.
ઉપસંહાર
Log4j ક્ષતિઓએ અમારા સમુદાયને આંચકો આપ્યો અને અમને બધાને યાદ અપાવ્યું કે અમે ઓપન-સોર્સ સૉફ્ટવેર પર કેટલા નિર્ભર છીએ.
Log4j અનન્ય છે. તે ન તો ઓપરેટિંગ સિસ્ટમ છે, ન તો તે બ્રાઉઝર છે, ન તો તે સોફ્ટવેર છે. તેના બદલે, પ્રોગ્રામરો તેને લાઇબ્રેરી, પેકેજ અથવા કોડ મોડ્યુલ તરીકે ઓળખે છે. તે માત્ર એક હેતુ પૂરો પાડે છે, એટલે કે, સર્વર પર શું થાય છે તેનો રેકોર્ડ રાખવો.
જે લોકો કોડ લખે છે તેના પર ધ્યાન કેન્દ્રિત કરવાનું પસંદ કરે છે જે તેમના સૉફ્ટવેરને વિશિષ્ટ બનાવે છે. તેઓ ચક્રને ફરીથી શોધવામાં રસ ધરાવતા નથી. પરિણામે, તેઓ હાલની કોડ લાઇબ્રેરીઓની પુષ્કળતા પર આધાર રાખે છે, જેમ કે Log4j.
Log4j મોડ્યુલ અપાચેમાંથી લેવામાં આવ્યું છે, જે સૌથી વધુ વ્યાપકપણે ઉપયોગમાં લેવાતું વેબ સર્વર સોફ્ટવેર છે. એટલા માટે તે લાખો સર્વર પર શોધી શકાય છે. તેથી, સુરક્ષા જોખમો વધી રહ્યા છે.
મને આશા છે કે ઉપરોક્ત ઉકેલો તમને તમારા ઉપકરણોને સુરક્ષિત રાખવામાં મદદ કરશે.
ટેકની દુનિયાની વધુ મદદરૂપ માહિતી માટે HashDork સાથે જોડાયેલા રહો.
એક જવાબ છોડો