Apache Log4j लाइब्रेरी में भेद्यता से प्रभावित 80% से अधिक जावा पैकेज सीधे अपडेट नहीं किए जा सकते हैं, और दोष को दूर करने के लिए विभिन्न प्रोजेक्ट टीमों के बीच समन्वय की आवश्यकता होगी।

Apache Log4j लाइब्रेरी में पहली भेद्यता के तुरंत बाद (सीवीई-2021-44228) का खुलासा किया गया था, Google की ओपन सोर्स इनसाइट्स टीम में सभी जावा पैकेजों का सर्वेक्षण किया मेवेन सेंट्रल रिपोजिटरी टीम के सदस्य जेम्स वेटर और निकी रिंगलैंड कहते हैं, “जेवीएम आधारित भाषाओं के ओपन सोर्स इकोसिस्टम में मुद्दे के दायरे को निर्धारित करने और प्रभावित पैकेजों को कम करने के लिए चल रहे प्रयासों को ट्रैक करने के लिए।” टीम का अनुमान है कि जावा पारिस्थितिकी तंत्र के भीतर भेद्यता को पूरी तरह से संबोधित करने में वर्षों लग सकते हैं।

समस्या का एक महत्वपूर्ण हिस्सा अप्रत्यक्ष निर्भरता के साथ करना है। प्रत्यक्ष निर्भरता, या ऐसे मामले जहां पैकेज स्पष्ट रूप से log4j को कोड में खींचता है, ठीक करने के लिए अपेक्षाकृत सरल हैं, क्योंकि डेवलपर या प्रोजेक्ट के मालिक को बस log4j को नवीनतम संस्करण में अपडेट करना होगा।

कई पैकेज कुछ अन्य पुस्तकालय में खींचते हैं जो log4j कहते हैं, जो एक अप्रत्यक्ष निर्भरता है। उस स्थिति में, पैकेज के मालिक को लाइब्रेरी कोड में log4j को अपडेट करने के लिए उस लाइब्रेरी के मेंटेनर की प्रतीक्षा करनी होगी और एक अपडेटेड वर्जन जारी करना होगा, जो तब पैकेज को अपडेट करने के लिए उपयोग किया जाएगा।

“एक निर्भरता श्रृंखला में भेद्यता जितनी गहरी होती है, उसे ठीक करने के लिए उतने ही अधिक चरणों की आवश्यकता होती है,” वेटर और रिंगलैंड नोट।

लगभग 440, 000 जावा पैकेजों के साथ, मावेन सेंट्रल जावा अनुप्रयोगों के लिए सबसे बड़ा और सबसे महत्वपूर्ण पैकेज रिपॉजिटरी है, और पारिस्थितिकी तंत्र का सटीक मूल्यांकन प्रदान करता है, जैसे कि वेटर और रिंगलैंड। टीम को 35,863 जावा पैकेज मिले जो log4j (log4j-core और log4j-api) के कमजोर संस्करणों या मावेन सेंट्रल में जावा पैकेज के लगभग 8% का उपयोग करते हैं। जब टीम ने केवल log4j-core का उपयोग करने वाले पैकेजों को देखने के लिए स्कैन को फिर से चलाया, तो 17,000 से अधिक प्रभावित पैकेज पाए गए, या पारिस्थितिकी तंत्र का लगभग 4%।

ध्यान दें कि जब भी कोई प्रमुख जावा सुरक्षा दोष पाया जाता है, तो यह आमतौर पर मावेन सेंट्रल पर केवल 2% पैकेजों को प्रभावित करता है। Log4j दोष का जावा पारिस्थितिकी तंत्र पर प्रभाव “भारी” होगा, वेटर और रिंगलैंड कहते हैं।

हजारों पैकेज पहले ही तय किए जा चुके हैं – “लॉग 4 जे अनुरक्षकों और खुले स्रोत उपभोक्ताओं के व्यापक समुदाय द्वारा एक तीव्र प्रतिक्रिया और विशाल प्रयास,” वेटर और रिंगलैंड नोट करें।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here