![](https://paw1xd.blr1.cdn.digitaloceanspaces.com/lokshakti.in/2024/06/default-featured-image.webp)
Log4j भेद्यता – पहली बार शुक्रवार को रिपोर्ट की गई – एक साइबर सुरक्षा दुःस्वप्न बन रही है जो संभावित रूप से ऐप्पल के आईक्लाउड से ट्विटर तक माइक्रोसॉफ्ट के माइनक्राफ्ट से अमेज़ॅन और कई अन्य एंटरप्राइज़ उत्पादों की विस्तृत श्रृंखला को प्रभावित करती है।
साइबर सुरक्षा शोधकर्ताओं द्वारा रिपोर्ट की गई Log4j सॉफ्टवेयर दोष हमलावरों को कंप्यूटर सिस्टम तक अनियंत्रित पहुंच की अनुमति दे सकता है, और यहां तक कि अमेरिकी सरकार की साइबर सुरक्षा एजेंसी ने भी उसी पर चेतावनी जारी की है। यहां वह सब कुछ है जो हम अब तक जानते हैं।
Log4j भेद्यता क्या है?
भेद्यता को Log4Shell के रूप में भी डब किया गया है और इसे सबसे पहले LunaSec के शोधकर्ताओं द्वारा हाइलाइट किया गया था। Microsoft के स्वामित्व वाले Minecraft में इस मुद्दे की खोज की गई थी, हालांकि LunaSec ने चेतावनी दी है कि Log4j की “सर्वव्यापी” उपस्थिति के कारण “कई, कई सेवाएँ” इस शोषण के लिए असुरक्षित हैं। इसका कारण यह है कि इस विशेष ओपन-सोर्स जावा लाइब्रेरी का उपयोग पूरे उद्योग में लगभग सभी प्रमुख जावा-आधारित एंटरप्राइज़ ऐप्स और सर्वरों में किया जाता है।
डब किए गए CVE-2021-44228 (प्रत्येक सॉफ़्टवेयर भेद्यता को दिया गया आधिकारिक नाम जैसा कि यह खोजा गया है), भेद्यता एक हमलावर को ‘मनमानी कोड’ को नियंत्रित करने और निष्पादित करने और कंप्यूटर सिस्टम तक पहुंच प्राप्त करने की अनुमति दे सकती है। यह एक हैकर को सही तरीके से उपयोग किए जाने पर सर्वर पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकता है। जावा में Log4j लाइब्रेरी का उपयोग किसी एप्लिकेशन में सभी गतिविधियों का रिकॉर्ड रखने के लिए किया जाता है और इस प्रकार दुनिया भर के सॉफ़्टवेयर डेवलपर्स द्वारा इसका उपयोग आमतौर पर किया जाता है।
सीवीई पुस्तकालय में तकनीकी परिभाषा में कहा गया है कि “एक हमलावर जो लॉग संदेशों या लॉग संदेश मापदंडों को नियंत्रित कर सकता है, संदेश लुकअप प्रतिस्थापन सक्षम होने पर एलडीएपी सर्वर से लोड किए गए मनमाने कोड को निष्पादित कर सकता है।” यहां चिंताजनक बात यह है कि हैकर्स द्वारा कुछ कंप्यूटर सिस्टम तक पहुंच हासिल करने के लिए शोषण का इस्तेमाल किया गया है, और अब जब शोषण खुले में है, तो कंपनियों को जल्द ही इसे पैच करना होगा।
रिपोर्ट्स के अनुसार, ऐसा प्रतीत होता है कि समस्या Log4j 2.15.0 और इसके बाद के संस्करण पर सभी के लिए पैच कर दी गई है क्योंकि व्यवहार डिफ़ॉल्ट रूप से अक्षम कर दिया गया है।
Log4j से कौन प्रभावित हैं?
साइबर सुरक्षा फर्म LunaSec के अनुसार, कई सेवाएँ Log4Shell शोषण की चपेट में हैं, जिनमें गेमिंग सेवा स्टीम, Apple का iCloud, आदि शामिल हैं। Microsoft के Minecraft ने पहले ही एक बयान जारी कर दिया है कि उपयोगकर्ता इस समस्या से बचने के लिए गेम को कैसे अपडेट कर सकते हैं। अन्य ओपन-सोर्स प्रोजेक्ट जैसे पेपर भी समस्या को ठीक करने के लिए पैच जारी कर रहे हैं, ब्लॉग कहते हैं।
Github पर, Apple, Tencent, स्टीम, Twitter, Baidu, DIDI, JD, NetEase, CloudFlare, Amazon, Tesla, Google, Webex, LinkedIn, आदि के रूप में सूचीबद्ध कंपनियों को प्रभावित किया। LunaSec ने यह भी नोट किया कि केवल एक iPhone का नाम बदलने से ट्रिगर हो रहा था Apple के सर्वर में भेद्यता। अधिकांश कंपनियों ने अभी तक एक बयान जारी नहीं किया है।
इस मुद्दे पर Minecraft ने क्या कहा है?
माइनक्राफ्ट ने एक बयान में कहा कि माइनक्राफ्ट जावा संस्करण प्रभावित हुआ है और इससे कंप्यूटर के खराब होने का खतरा है। जावा संस्करण Minecraft खिलाड़ियों के लिए विंडोज, मैकओएस और लिनक्स के बीच क्रॉसप्ले की अनुमति देता है।
बयान में कहा गया है कि शोषण को “गेम क्लाइंट के सभी संस्करणों के साथ संबोधित किया गया है”, लेकिन उपयोगकर्ताओं को अभी भी गेम और उनके सर्वर को सुरक्षित करने के लिए अतिरिक्त कदम उठाने की आवश्यकता होगी। उन लोगों के लिए जो अपने सर्वर पर Minecraft Java संस्करण की मेजबानी नहीं कर रहे हैं, उन्हें गेम के सभी चल रहे इंस्टेंस और Minecraft Launcher को बंद करना होगा। फिर उन्हें लॉन्चर को फिर से शुरू करना होगा और “पैच किया गया संस्करण स्वचालित रूप से डाउनलोड हो जाएगा।”
संशोधित क्लाइंट और तृतीय-पक्ष लॉन्चरों के लिए, स्वचालित डाउनलोड नहीं हो सकते हैं, और Minecraft “आपके तृतीय-पक्ष प्रदाता की सलाह का पालन करने” की सिफारिश कर रहा है।
“अगर तीसरे पक्ष के प्रदाता ने भेद्यता को पैच नहीं किया है, या यह नहीं कहा है कि यह खेलना सुरक्षित है, तो आपको यह मान लेना चाहिए कि भेद्यता तय नहीं है और आप खेलकर जोखिम में हैं,” बयान में कहा गया है।
इस बीच, नेटएप, जो क्लाउड के लिए डेटा प्रबंधन समाधान प्रदान करता है, ने भी एक बयान दिया है कि इसके उत्पाद कमजोर हैं क्योंकि वे व्यापक रूप से Log4j को अपनाते हैं। बयान में कहा गया है कि 2.15.0 के सभी संस्करण भेद्यता के लिए अतिसंवेदनशील हैं और “इस भेद्यता के सफल शोषण से संवेदनशील जानकारी का खुलासा हो सकता है, डेटा में वृद्धि या संशोधन हो सकता है, या सेवा से इनकार (DoS) हो सकता है।”
वायर्ड के अनुसार, शोधकर्ताओं को संदेह है कि मुख्यधारा की कई सेवाएं प्रभावित होंगी। इसके अलावा, कुछ ट्विटर उपयोगकर्ताओं ने अपने प्रदर्शन नामों को कोड स्ट्रिंग्स में बदलना शुरू कर दिया जो शोषण को ट्रिगर कर सकते थे।
.
More Stories
वनप्लस पैड 2 भारत में एआई टूलबॉक्स के साथ 45,000 रुपये से कम में स्टाइलो 2 और स्मार्ट कीबोर्ड के साथ लॉन्च हुआ; स्पेक्स, कीमत देखें | प्रौद्योगिकी समाचार
टेक शोडाउन: iQOO Z9 Lite 5G बनाम Redmi 13 5G: 15,000 रुपये से कम में कौन सा स्मार्टफोन बेस्ट कैमरा देता है? | प्रौद्योगिकी समाचार
WhatsApp iOS और Android उपयोगकर्ताओं को कैप्शन के साथ फ़ोटो अग्रेषित करने की अनुमति देता है; इसका उपयोग करने के लिए इन चरणों का पालन करें | प्रौद्योगिकी समाचार