Ua ʻike ʻia kekahi mea nāwaliwali i loko o ka waihona Log4j 2 (CVE-2021-45105), ʻaʻole like me nā pilikia ʻelua ma mua, ua helu ʻia he pōʻino, akā ʻaʻole koʻikoʻi. ʻO ka hoʻopuka hou e hiki ai iā ʻoe ke hana i ka hōʻole ʻana i ka lawelawe a hōʻike iā ia iho i ke ʻano o nā puka lou a me nā hāʻule i ka wā e hana ai i kekahi mau laina. Ua hoʻopaʻa ʻia ka nāwaliwali ma ka hoʻokuʻu ʻana o Log4j 2.17 i hoʻokuʻu ʻia i kekahi mau hola i hala. Hoʻemi ʻia ka pilikia o ka nāwaliwali e ka ʻike ʻana o ka pilikia ma nā ʻōnaehana me Java 8.
Hoʻopilikia ka haʻahaʻa i nā ʻōnaehana e hoʻohana ana i nā nīnau pōʻaiapili (Context Lookup), e like me ${ctx:var}, no ka hoʻoholo ʻana i ke ʻano hoʻopuka puka. Loaʻa i nā mana Log4j mai ka 2.0-alpha1 a i ka 2.16.0 ka pale ʻana i ka hoʻihoʻi ʻole ʻia, ka mea i ʻae i ka mea hoʻouka e hoʻoponopono i ka waiwai i hoʻohana ʻia i ka hoʻololi ʻana e hana i kahi loop, e alakaʻi ana i ka pau ʻana o ka waihona a me ka hāʻule. ʻO ka mea nui, ua pilikia ka pilikia i ka wā e hoʻololi ai i nā waiwai e like me "${${::-${::-$${::-j}}}}".
Eia hou, hiki ke hoʻomaopopo ʻia ua hāʻawi nā mea noiʻi mai Blumira i kahi koho e hoʻouka i nā polokalamu Java palupalu i ʻae ʻole i nā noi pūnaewele waho; no ka laʻana, hiki ke hoʻouka ʻia nā ʻōnaehana o nā mea hoʻomohala a i ʻole nā mea hoʻohana o nā polokalamu Java ma kēia ala. ʻO ke kumu o ke ʻano, inā he mau kaʻina Java palupalu i ka ʻōnaehana o ka mea hoʻohana e ʻae i nā pilina pūnaewele mai ka host local, a i ʻole ka hana ʻana i nā noi RMI (Remote Method Invocation, port 1099), hiki ke hoʻouka ʻia e ka code JavaScript i hoʻokō ʻia. ke wehe nā mea hoʻohana i kahi ʻaoʻao ʻino i kā lākou polokalamu kele pūnaewele. No ka hoʻokumu ʻana i kahi pilina i ke awa pūnaewele o kahi noi Java i ka wā o ia hoʻouka ʻana, hoʻohana ʻia ka WebSocket API, kahi, ʻaʻole like me nā noi HTTP, ʻaʻole i hoʻopili ʻia nā palena kumu like (hiki ke hoʻohana ʻia ʻo WebSocket e nānā i nā awa pūnaewele ma ka wahi. host i mea e hoʻoholo ai i nā mea lawelawe pūnaewele i loaʻa).
ʻO ka hoihoi pū kekahi i nā hopena i paʻi ʻia e Google no ka loiloi ʻana i ka nāwaliwali o nā hale waihona puke e pili ana i nā hilinaʻi Log4j. Wahi a Google, pili ka pilikia i ka 8% o nā pūʻolo āpau i ka waihona Maven Central. ʻO ka mea kūikawā, 35863 Java puʻupuʻu pili me Log4j ma o ka hilinaʻi pololei a me ka ʻole i ʻike ʻia i nā nāwaliwali. Ma ka manawa like, hoʻohana ʻia ʻo Log4j ma ke ʻano he hilinaʻi mua o ka pae mua wale nō ma 17% o nā hihia, a ma 83% o nā pūʻolo i hoʻopili ʻia, lawe ʻia ka hoʻopaʻa ʻana ma o nā pūʻulu waena e hilinaʻi ana iā Log4j, ʻo ia hoʻi. addictions o ka lua a me ka pae kiʻekiʻe (21% - lua o ka pae, 12% - kolu, 14% - ha, 26% - lima, 6% - ono). ʻO ka wikiwiki o ka hoʻoponopono ʻana i ka nāwaliwali ka waiho ʻana i nā mea nui e makemake ʻia; he pule ma hope o ka ʻike ʻia ʻana o ka nāwaliwali, mai loko o 35863 mau pūʻolo i ʻike ʻia, ua hoʻoponopono ʻia ka pilikia i kēia manawa ma 4620 wale nō, ʻo ia hoʻi. ma 13%.
I kēia manawa, ua hoʻopuka ka US Cybersecurity and Infrastructure Protection Agency i kahi kuhikuhi ulia pōpilikia e koi ana i nā keʻena federal e ʻike i nā ʻōnaehana ʻike i hoʻopilikia ʻia e ka vulnerability Log4j a hoʻokomo i nā mea hou e ālai i ka pilikia ma ka lā 23 Dekemaba. Ma ka lā 28 o Dekemaba, pono nā hui e hōʻike i kā lākou hana. No ka maʻalahi o ka ʻike ʻana i nā ʻōnaehana pilikia, ua hoʻomākaukau ʻia kahi papa inoa o nā huahana i hōʻoia ʻia e hōʻike i nā nāwaliwali (ʻoi aku ka nui o nā noi ma mua o 23 tausani).
Source: opennet.ru