CVE-2021-44228 – log4j - भेद्यता रिपोर्ट
(unit42.paloaltonetworks.com)Java के logging framework log4j में एक भेद्यता की रिपोर्ट की गई है.
-
प्रभावित versions : 2.0 ~ 2.14.1
-
fixed version >= 2.15.0-rc1
-
Apache log4j library का उपयोग करने वाले सभी systems पर patch लागू करने की सिफारिश की जाती है
-
प्रभावित होने वाले प्रमुख उदाहरण
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 टिप्पणियां
अरे, log4j क्या logging करने वाला फ़ंक्शन है?
मैंने सिर्फ़ नाम देखकर सोचा था कि यह math का log4 है
यह एक ऐसा बग है जिसमें अगर किसी सामग्री को, जिसमें कोई खास स्ट्रिंग शामिल हो, लॉग में दर्ज किया जाए तो Remote Code Execution (RCE) संभव हो जाता है.
इस बीच, ऐसा लगता है कि कुछ लोग इस security vulnerability का इस्तेमाल करके Minecraft सर्वर को Doom सर्वर में बदल रहे हैं। Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
हाहाहा, Minecraft server तक पर Doom पोर्ट कर दिया..
इसका प्रभाव क्षेत्र इतना बड़ा है कि घरेलू मीडिया में इसे "कंप्यूटर इतिहास की सबसे खराब vulnerability की खोज" जैसे शीर्षक लगाकर क्लिकबेट की तरह बेचा जा रहा था...
प्रभावित प्रोडक्ट्स में ऐसे कई प्रोडक्ट हैं जिनके नाम भर से लोग उन्हें पहचान लेते हैं, इसलिए लगता है कि इसका प्रभाव-क्षेत्र भी काफी बड़ा है.
इस vulnerability को reproduce करने का तरीका नीचे दिए गए लेख में बताया गया है.
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
SpringBoot के मामले में नीचे दिए गए लिंक के अनुसार काम करना अच्छा रहेगा.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'