12 पॉइंट द्वारा tkwlsrl 2021-12-11 | 7 टिप्पणियां | WhatsApp पर शेयर करें

Java के logging framework log4j में एक भेद्यता की रिपोर्ट की गई है.

  • प्रभावित versions : 2.0 ~ 2.14.1

  • fixed version >= 2.15.0-rc1

  • Apache log4j library का उपयोग करने वाले सभी systems पर patch लागू करने की सिफारिश की जाती है

  • प्रभावित होने वाले प्रमुख उदाहरण

    • Apache Struts

    • Apache Solr

    • Apache Druid

    • Apache Flink

    • ElasticSearch

    • Flume

    • Apache Dubbo

    • Logstash

    • Kafka

    • Spring-Boot-starter-log4j2

7 टिप्पणियां

 
v08zbv8fvlkjasdflkj 2021-12-13

अरे, log4j क्या logging करने वाला फ़ंक्शन है?

मैंने सिर्फ़ नाम देखकर सोचा था कि यह math का log4 है

 
xguru 2021-12-11

यह एक ऐसा बग है जिसमें अगर किसी सामग्री को, जिसमें कोई खास स्ट्रिंग शामिल हो, लॉग में दर्ज किया जाए तो Remote Code Execution (RCE) संभव हो जाता है.

 
kunggom 2021-12-13

इस बीच, ऐसा लगता है कि कुछ लोग इस security vulnerability का इस्तेमाल करके Minecraft सर्वर को Doom सर्वर में बदल रहे हैं। Rip and Tear!

https://twitter.com/gegy1000/status/1469714451716882434

 
budlebee 2021-12-13

हाहाहा, Minecraft server तक पर Doom पोर्ट कर दिया..

 
xguru 2021-12-11

इसका प्रभाव क्षेत्र इतना बड़ा है कि घरेलू मीडिया में इसे "कंप्यूटर इतिहास की सबसे खराब vulnerability की खोज" जैसे शीर्षक लगाकर क्लिकबेट की तरह बेचा जा रहा था...

 
kunggom 2021-12-11

प्रभावित प्रोडक्ट्स में ऐसे कई प्रोडक्ट हैं जिनके नाम भर से लोग उन्हें पहचान लेते हैं, इसलिए लगता है कि इसका प्रभाव-क्षेत्र भी काफी बड़ा है.

इस vulnerability को reproduce करने का तरीका नीचे दिए गए लेख में बताया गया है.

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit

https://pcmag.com/news/…

 
tkwlsrl 2021-12-11

SpringBoot के मामले में नीचे दिए गए लिंक के अनुसार काम करना अच्छा रहेगा.

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven

2.15.0

gradle

ext['log4j2.version'] = '2.15.0'