कई सिस्टम पहले से ही Log4j, जावा लाइब्रेरी का उपयोग अनुप्रयोगों में त्रुटि संदेशों को लॉग करने के लिए करते हैं। लेकिन हाल ही में अपाचे द्वारा खुलासा एक दोष, संभावित रूप से हैकर्स को दुनिया भर के उपकरणों तक अनियंत्रित पहुंच की अनुमति दे सकता है।

वास्तव में, साइबर अपराधी पहले से ही इस भेद्यता का फायदा उठाने का प्रयास कर रहे हैं और सभी प्रकार के ऑनलाइन एप्लिकेशन, ओपन-सोर्स सॉफ़्टवेयर, क्लाउड प्लेटफ़ॉर्म और ईमेल सेवाएं जोखिम में हो सकती हैं।

तो Log4j क्या है? इसका उपयोग कहाँ किया जाता है? और क्या ऐसे तरीके हैं जिनसे आप स्वयं को Log4j दोष से बचा सकते हैं?

Log4j क्या है?

अपने विकास जीवनचक्र के दौरान सॉफ्टवेयर को डिबग करने के लिए एक विश्वसनीय विधि में कोड में लॉग स्टेटमेंट सम्मिलित करना शामिल है। Log4j जावा के लिए एक ऐसी लॉगिंग लाइब्रेरी है, जो विश्वसनीय और लचीली दोनों है।

ओपन-सोर्स अपाचे सॉफ्टवेयर फाउंडेशन द्वारा विकसित और अनुरक्षित, Log4j विंडोज, लिनक्स और ऐप्पल के मैकओएस सहित सभी प्रमुख प्लेटफार्मों पर चल सकता है।

Log4j का उपयोग कैसे किया जाता है?

सॉफ्टवेयर विकास में लॉगिंग महत्वपूर्ण है क्योंकि यह रनटाइम पर सिस्टम की स्थिति को इंगित करता है। किसी भी बिंदु पर सिस्टम गतिविधि लॉग उपलब्ध होने से समस्याओं पर नज़र रखने में बहुत मदद मिल सकती है।

कहने की जरूरत नहीं है, डेवलपर्स विकास के विभिन्न चरणों के दौरान Log4j का उपयोग करते हैं। इसका उपयोग ऑनलाइन गेम, एंटरप्राइज़ सॉफ़्टवेयर और क्लाउड डेटा केंद्रों में भी किया जाता है।

तीन बुनियादी घटक हैं जिन्हें लकड़हारा, परिशिष्ट और लेआउट के रूप में जाना जाता है जो Log4j को बनाते हैं; सभी व्यवस्थित तरीके से लॉगिंग के उद्देश्य को पूरा करने के लिए मिलकर काम करते हैं।

Log4j भेद्यता क्या है?

Log4j भेद्यता उन सिस्टम को छोड़ सकती है जो Log4j को बाहरी घुसपैठ के लिए खुला रखते हैं, जिससे खतरे वाले अभिनेताओं के लिए अपना रास्ता बनाना और विशेषाधिकार प्राप्त करना आसान हो जाता है।

यह भेद्यता हमेशा मौजूद थी और 2020 में वापस खोजे जाने पर इसे अनदेखा कर दिया गया था। हालांकि, अपाचे ने अब आधिकारिक तौर पर इस भेद्यता का खुलासा किया है लॉग4जे एक LunaSec शोधकर्ता द्वारा Microsoft के Minecraft में इसकी पहचान करने के बाद पुस्तकालय।

और तब से, अधिक हमलावरों ने स्वाभाविक रूप से इसे उजागर करना शुरू कर दिया है, इस पहले की अनदेखी (या ऐसा लगता है) भेद्यता को थोड़े समय में और अधिक गंभीर बना दिया है।

कौन से सिस्टम और डिवाइस जोखिम में हैं?

सभी प्रमुख जावा-आधारित एंटरप्राइज़ सॉफ़्टवेयर और सर्वर Log4j लाइब्रेरी का उपयोग करते हैं। सॉफ्टवेयर अनुप्रयोगों और ऑनलाइन सेवाओं में इसके व्यापक उपयोग के कारण, कई सेवाएं इस शोषण की चपेट में हैं।

यह Apache Log4j संस्करण 2.0 से 2.14.1 पर चलने वाले और इंटरनेट एक्सेस करने वाले किसी भी उपकरण के लिए जोखिम पैदा कर सकता है। वास्तव में, बड़ी संख्या में सेवाएँ Log4j का उपयोग करती हैं, जैसे कि Apple का iCloud, Microsoft का Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, और LinkedIn।

शून्य-दिन की भेद्यता के रूप में वर्गीकृत होने के कारण, Log4j कई नतीजों के साथ आता है। यदि बिना पैच के छोड़ दिया जाता है, तो यह कीड़ों का एक बड़ा कैन खोल सकता है - हमलावर संभवतः सिस्टम में सेंध लगा सकते हैं, पासवर्ड चुरा सकते हैं और लॉगिन, और दुर्भावनापूर्ण सॉफ़्टवेयर वाले नेटवर्क को संक्रमित करते हैं—क्योंकि इस भेद्यता के लिए पूरी विशेषज्ञता की आवश्यकता नहीं होती है लाभ उठाना।

सम्बंधित: एक शून्य दिवस शोषण क्या है और हमले कैसे काम करते हैं?

Log4j भेद्यता से स्वयं को कैसे सुरक्षित रखें

यहां कुछ युक्तियां दी गई हैं जो Log4j भेद्यता को कम करने में आपकी सहायता कर सकती हैं।

पैचिंग और अपडेट

आपके संगठन को Log4j चलाने वाले इंटरनेट का सामना करने वाले उपकरणों की तुरंत पहचान करनी चाहिए और उन्हें 2.15.0 संस्करण में अपग्रेड करना चाहिए।

आपको निर्माताओं और विक्रेताओं द्वारा जारी किए गए सभी अपडेट और सुरक्षा पैच उपलब्ध होने पर भी इंस्टॉल करना चाहिए। उदाहरण के लिए, Minecraft ने पहले ही उपयोगकर्ताओं को समस्याओं से बचने के लिए गेम को अपडेट करने की सलाह दी है। अन्य ओपन-सोर्स प्रोजेक्ट जैसे पेपर इसी तरह समस्या को ठीक करने के लिए पैच जारी कर रहे हैं।

वेब अनुप्रयोग फ़ायरवॉल में Log4j के विरुद्ध नियम सेट करें

इस समय Log4j से बचाव का सबसे अच्छा तरीका एक वेब एप्लिकेशन फ़ायरवॉल (WAF) स्थापित करना है। यदि आपका संगठन पहले से ही WAF का उपयोग कर रहा है, तो उन नियमों को स्थापित करना सबसे अच्छा है जो Log4j पर ध्यान केंद्रित करते हैं।

को पहचान कर और ब्लॉक करके खतरनाक चरित्र तार WAF जैसे अपस्ट्रीम डिवाइस पर, आप अपने एप्लिकेशन को Log4j से प्रभावित होने से बचा सकते हैं।

धमकी शिकार और अलर्ट

राष्ट्रीय साइबर सुरक्षा केंद्र (एनसीएससी) की सिफारिश की Log4j चलाने वाले युक्ति पर जांच या आक्रमण के लिए अलर्ट सेट करना.

अपने संगठन के सुरक्षा कार्यों को विसंगतियों के लिए नियमित रूप से खतरे का शिकार करते रहने के लिए कहें, और Log4j के साथ उत्पन्न होने वाले प्रत्येक अलर्ट के लिए कार्रवाई करें।

सम्बंधित: आपकी वेबसाइट की सुरक्षा के लिए सर्वश्रेष्ठ वेब एप्लिकेशन फ़ायरवॉल सेवाएँ

Log4j यहाँ रहने के लिए है

Log4j ने दुनिया को तूफान से घेर लिया है और लगता है कि यह लंबी दौड़ के लिए यहां है। चूंकि इस परिमाण की भेद्यता के लिए कोई एक आकार-फिट-सभी समाधान नहीं है, Log4j आने वाले महीनों के लिए आईटी दुनिया को व्यस्त रखेगा।

जैसा कि यह खड़ा है, सुरक्षा शोधकर्ता, रक्षा दल और व्हाइट हैट हैकर सभी यह पता लगाने के लिए हाथ-पांव मार रहे हैं कि यह भेद्यता कितनी सर्वव्यापी है, और इसके लंबे समय तक चलने वाले प्रभाव हैं।

हालांकि इस समय स्थिति धूमिल दिख रही है, फिर भी अंतिम उपयोगकर्ताओं को इसे कम करने को प्राथमिकता देनी चाहिए उपरोक्त युक्तियों और साइबर सुरक्षा द्वारा प्रदान किए गए दिशानिर्देशों का पालन करके यह भेद्यता विशेषज्ञ।

व्हाइट हैट हैकर क्या है?

व्हाइट हैट हैकर एक एथिकल हैकर होता है जो साइबर हमले से बचाने के लिए अपने कौशल का उपयोग करता है। यहां आपको जानने की जरूरत है।

आगे पढ़िए

साझा करनाकलरवईमेल
संबंधित विषय
  • सुरक्षा
  • ऑनलाइन सुरक्षा
  • जावा
लेखक के बारे में
किन्ज़ा यासारी (73 लेख प्रकाशित)

किंजा एक प्रौद्योगिकी पत्रकार हैं, जिनके पास कंप्यूटर नेटवर्किंग में डिग्री है और उनके बेल्ट के तहत कई आईटी प्रमाणपत्र हैं। तकनीकी लेखन में आने से पहले उन्होंने दूरसंचार उद्योग में काम किया। साइबर-सुरक्षा और क्लाउड-आधारित विषयों में एक विशिष्ट स्थान के साथ, उसे लोगों को तकनीक को समझने और उसकी सराहना करने में मदद करने में मज़ा आता है।

Kinza Yasar. की और फ़िल्में या टीवी शो

हमारे न्यूज़लेटर की सदस्यता लें

तकनीकी युक्तियों, समीक्षाओं, निःशुल्क ई-पुस्तकों और अनन्य सौदों के लिए हमारे न्यूज़लेटर से जुड़ें!

सब्सक्राइब करने के लिए यहां क्लिक करें