നാല് ദിവസം മുമ്പ്, ലോഗ് 4ഷെൽ ജാവ ചൂഷണം കണ്ടെത്തി, മൈക്രോസോഫ്റ്റ്, എൻവിഡിയ, ഇൻ്റൽ തുടങ്ങിയ സാങ്കേതിക ഭീമൻമാരെ ബാധിക്കുന്ന ക്ഷുദ്രകരമായ ടെക്സ്റ്റ് അയയ്ക്കുകയും സജീവമാക്കുകയും ചെയ്ത് തുറന്ന വെബ്-ഫേസിംഗ് സെർവറുകളുടെ നിയന്ത്രണം ഹാക്കർമാരെ അനുവദിക്കുന്നു. ജാവ അടിസ്ഥാനമാക്കിയുള്ള ആപ്ലിക്കേഷനുകൾക്കുള്ളിലെ ഇവൻ്റുകളും പിശകുകളും ലോഗ് ചെയ്യുന്ന ഓപ്പൺ സോഴ്സ് Apache Log4j ലൈബ്രറിയിലാണ് ഈ ചൂഷണം സ്ഥിതി ചെയ്യുന്നത്.
Log4J, അല്ലെങ്കിൽ Log4Shell ചൂഷണം Java-അധിഷ്ഠിത സിസ്റ്റങ്ങളെ വിദൂരമായി ആക്രമിക്കുന്നു, ഇത് നിർണായകമായ ഡാറ്റ ചോർച്ചകളിലേക്കും മറ്റും തുറക്കുന്നു
ലോഗ്4ജെ എന്നും അറിയപ്പെടുന്ന അപകടസാധ്യത ട്രാക്ക് ചെയ്യപ്പെടുന്നു CVE-2021-44228, നാഷണൽ ഇൻസ്റ്റിറ്റ്യൂട്ട് ഓഫ് സ്റ്റാൻഡേർഡ്സ് ആൻഡ് ടെക്നോളജി അല്ലെങ്കിൽ NIST നൽകിയത്. ഈ ചൂഷണം ഒരു മൊബൈൽ ഉപകരണം, API അല്ലെങ്കിൽ ഒരു ബ്രൗസർ വിൻഡോ വഴി ആക്സസ് ചെയ്യാൻ കഴിയും.
ഇൻ്റൽ, മൈക്രോസോഫ്റ്റ്, എൻവിഡിയ തുടങ്ങിയ മുൻനിര ടെക് കമ്പനികളെയെല്ലാം ഈ വളരെ ഫലപ്രദമായ ചൂഷണം ബാധിച്ചിട്ടുണ്ട്. ഇൻ്റലിന് ഉണ്ട് ഒമ്പത് അപേക്ഷകൾ അത് ജാവ ഉപയോഗിക്കുകയും ഹാക്കിന് ഇരയാകുകയും ചെയ്യുന്നു. ബാധിച്ച ഇൻ്റൽ ആപ്ലിക്കേഷനുകളുടെ ലിസ്റ്റ് നൽകിയിരിക്കുന്നു:
- ഇൻ്റൽ ഓഡിയോ വികസന കിറ്റ്
- ഇന്റൽ ഡാറ്റാസെന്റർ മാനേജർ
- Eclipse-നുള്ള oneAPI സാമ്പിൾ ബ്രൗസർ പ്ലഗിൻ
- ഇൻ്റൽ സിസ്റ്റം ഡീബഗ്ഗർ
- ഇൻ്റൽ സെക്യൂർ ഡിവൈസ് ഓൺബോർഡ് (സാമൂഹികം)
- ഇൻ്റൽ ജീനോമിക്സ് കേർണൽ ലൈബ്രറി
- ഇന്റൽ സിസ്റ്റം സ്റ്റുഡിയോ
- ഇൻ്റൽ പരിപാലിക്കുന്ന കമ്പ്യൂട്ടർ വിഷൻ വ്യാഖ്യാന ഉപകരണം
- ഇൻ്റൽ സെൻസർ സൊല്യൂഷൻ ഫേംവെയർ ഡെവലപ്മെൻ്റ് കിറ്റ്
എൻവിഡിയയുടെ സ്വഭാവവും അവയുടെ ആപ്ലിക്കേഷനുകളും സേവനങ്ങളും ഏറ്റവും പുതിയ പതിപ്പുകൾക്കൊപ്പം സ്ഥിരമായി അപ്ഡേറ്റ് ചെയ്യുന്നതിനാൽ, ചൂഷണം കണ്ടെത്തുന്നത് വളരെ ബുദ്ധിമുട്ടാണ്. സെർവർ മാനേജർമാർ തങ്ങളുടെ മെഷീനുകൾക്ക് സ്ഥിരമായി ഏറ്റവും പുതിയ അപ്ഡേറ്റുകൾ നൽകുന്നില്ല എന്നത് കമ്പനി കണക്കിലെടുക്കുന്നു, അതിനാൽ ലോഗ് 4 ജെ ബാധിച്ചേക്കാവുന്ന ഉയർന്ന ശതമാനം സാധ്യമായ നാല് ഉൽപ്പന്നങ്ങൾ എൻവിഡിയ പട്ടികപ്പെടുത്തുന്നു, പ്രത്യേകിച്ചും ഉൽപ്പന്നങ്ങളുടെ ഡ്രൈവറുകൾ പുറത്തിറങ്ങിയതിന് ശേഷം കാലഹരണപ്പെട്ടതാണെങ്കിൽ. :
- CUDA ടൂൾകിറ്റ് വിഷ്വൽ പ്രൊഫൈലറും എൻസൈറ്റ് എക്ലിപ്സ് പതിപ്പും
- DGX സിസ്റ്റംസ്
- നെറ്റ്ക്യു
- vGPU സോഫ്റ്റ്വെയർ ലൈസൻസ് സെർവർ
NVIDIA-യുടെ DGX എൻ്റർപ്രൈസ് പിസികൾ Ubuntu-Linux OS-ൽ പ്രീലോഡ് ചെയ്തിരിക്കുന്നതും ചൂഷണത്തിന് ഇരയാകുന്നതും ആയതിനാൽ, അവരുടെ സിസ്റ്റങ്ങൾ ഉടനടി അപ്ഡേറ്റ് ചെയ്യുന്നതിനായി അപ്പാച്ചെയുടെ Log4J ഫംഗ്ഷണാലിറ്റി ബ്ലോക്ക് സ്വമേധയാ ഇൻസ്റ്റാൾ ചെയ്യാൻ കഴിവുള്ള ഉപയോക്താക്കളോട് NVIDIA ആശയവിനിമയം നടത്തുന്നു.
മൈക്രോസോഫ്റ്റിൻ്റെ Azure Spring Cloud, Azure DevOps ആപ്ലിക്കേഷൻ എന്നിവയുണ്ട് രണ്ടും ഒത്തുകളിച്ചു അപകടസാധ്യത കണ്ടെത്തിയതിനാൽ. സിസ്റ്റത്തിൻ്റെ ബൂട്ട് പ്രക്രിയയിൽ സ്ഥിതി ചെയ്യുന്ന Log4Shell-ൻ്റെ പ്രത്യേക ഘടകങ്ങൾ Azure Spring Cloud ഉപയോഗപ്പെടുത്തുന്നു. ഈ ചൂഷണത്തിൻ്റെ സ്വഭാവം കാരണം, സിസ്റ്റം അപ്ഡേറ്റ് ചെയ്തില്ലെങ്കിൽ, അവ ദുർബലമാകും.
രസകരമെന്നു പറയട്ടെ, ലോഗ് 4 ജെ ചൂഷണത്തിൽ എഎംഡിക്ക് പരിക്കില്ല. അവരുടെ ഉൽപ്പന്ന ലൈനുകളുടെ പ്രാഥമിക അന്വേഷണത്തിന് ശേഷം, ലൈനുകളൊന്നും ബാധിച്ചിട്ടില്ലെന്ന് എഎംഡി പ്രഖ്യാപിച്ചു, എന്നാൽ അപകടസാധ്യതയുടെ തീവ്രത കാരണം അവർ തിരച്ചിൽ തുടരും.
പോസ്റ്റ് Log4Shell ചൂഷണം ഇന്റൽ, മൈക്രോസോഫ്റ്റ്, എൻവിഡിയ തുടങ്ങിയ മറ്റ് മുൻനിര സാങ്കേതിക ഭീമന്മാരെ ബാധിക്കുന്നതിനാൽ എഎംഡി വഴുതി വീഴുന്നു. by ജേസൺ ആർ. വിൽസൺ ആദ്യം പ്രത്യക്ഷപ്പെട്ടു വക്ഫ്കെക്.
