Lwm qhov tsis txaus ntseeg tau raug txheeb xyuas hauv Log4j 2 lub tsev qiv ntawv (CVE-2021-45105), uas, tsis zoo li ob qhov teeb meem dhau los, raug cais raws li qhov txaus ntshai, tab sis tsis tseem ceeb. Qhov teeb meem tshiab tso cai rau koj los ua qhov tsis lees paub ntawm kev pabcuam thiab tshwm sim nws tus kheej hauv daim ntawv ntawm lub voj voog thiab kev sib tsoo thaum ua qee cov kab. Qhov tsis zoo tau raug kho hauv Log4j 2.17 tso tawm ob peb teev dhau los. Qhov txaus ntshai ntawm qhov tsis zoo yog txo los ntawm qhov tseeb tias qhov teeb meem tsuas yog tshwm sim ntawm cov kab ke nrog Java 8.
Qhov tsis zoo cuam tshuam rau cov tshuab uas siv cov lus nug ntawm cov ntsiab lus (Cov ntsiab lus Lookup), xws li ${ctx:var}, txhawm rau txiav txim siab cov ntaub ntawv tawm tswv yim. Log4j versions los ntawm 2.0-alpha1 txog 2.16.0 tsis muaj kev tiv thaiv kev tiv thaiv tsis tau rov ua dua, uas tso cai rau tus neeg tawm tsam los tswj tus nqi siv hauv kev hloov pauv kom ua rau lub voj voog, ua rau qaug zog ntawm qhov chaw thiab kev sib tsoo. Tshwj xeeb, qhov teeb meem tshwm sim thaum hloov cov nqi xws li "${${::-${::-$${::-j}}}}".
Tsis tas li ntawd, nws tuaj yeem raug sau tseg tias cov kws tshawb fawb los ntawm Blumira tau thov ib qho kev xaiv los tawm tsam Java daim ntawv thov uas tsis lees txais cov kev thov sab nraud; piv txwv li, cov txheej txheem ntawm cov neeg tsim khoom lossis cov neeg siv Java daim ntawv thov tuaj yeem raug tawm tsam li no. Lub ntsiab lus ntawm txoj kev yog tias muaj cov txheej txheem Java tsis zoo ntawm tus neeg siv lub kaw lus uas lees txais kev sib txuas hauv network nkaus xwb los ntawm tus tswv hauv zos, lossis txheej txheem RMI thov (Chaw Taws Teeb Method Invocation, chaw nres nkoj 1099), qhov kev tawm tsam tuaj yeem ua tiav los ntawm JavaScript code executed thaum cov neeg siv qhib nplooj siab phem hauv lawv qhov browser. Txhawm rau tsim kom muaj kev sib txuas rau lub network chaw nres nkoj ntawm Java daim ntawv thov thaum muaj kev tawm tsam, WebSocket API tau siv, uas, tsis zoo li HTTP thov, kev txwv tib lub hauv paus chiv keeb tsis raug siv (WebSocket kuj tseem siv tau los luam theej duab cov chaw nres nkoj hauv zos. host nyob rau hauv thiaj li yuav txiav txim siab muaj network handlers).
Tsis tas li qhov txaus siab yog cov txiaj ntsig tau tshaj tawm los ntawm Google ntawm kev ntsuas qhov tsis zoo ntawm cov tsev qiv ntawv cuam tshuam nrog Log4j kev vam khom. Raws li Google, qhov teeb meem cuam tshuam txog 8% ntawm tag nrho cov pob khoom hauv Maven Central repository. Tshwj xeeb, 35863 Java pob cuam tshuam nrog Log4j los ntawm kev tso siab ncaj thiab tsis ncaj tau raug cuam tshuam rau qhov tsis zoo. Nyob rau tib lub sijhawm, Log4j yog siv los ua thawj theem kev vam khom tsuas yog hauv 17% ntawm cov neeg mob, thiab hauv 83% ntawm cov pob khoom cuam tshuam, kev khi yog nqa tawm los ntawm cov pob nruab nrab uas nyob ntawm Log4j, i.e. Kev quav tshuaj ntawm qib thib ob thiab siab dua (21% - qib thib ob, 12% - thib peb, 14% - thib plaub, 26% - thib tsib, 6% - thib rau). Lub nrawm ntawm kev kho qhov tsis zoo tseem tshuav ntau yam uas xav tau; ib lub lim tiam tom qab pom qhov tsis zoo, tawm ntawm 35863 cov pob uas tau txheeb xyuas, qhov teeb meem tau kho kom deb li deb tau tsuas yog 4620, piv txwv li. ntawm 13%.
Lub caij no, US Cybersecurity thiab Infrastructure Protection Agency tau tshaj tawm tsab ntawv ceeb toom thaum muaj xwm txheej ceev uas xav kom tsoomfwv cov koomhaum txheeb xyuas cov ntaub ntawv cuam tshuam los ntawm Log4j qhov tsis zoo thiab nruab qhov hloov tshiab uas thaiv qhov teeb meem los ntawm Lub Kaum Ob Hlis 23. Thaum Lub Kaum Ob Hlis 28, cov koom haum yuav tsum tau tshaj tawm txog lawv txoj haujlwm. Txhawm rau ua kom yooj yim rau kev txheeb xyuas cov teeb meem, ib daim ntawv teev cov khoom lag luam uas tau lees paub los ua pov thawj qhov tsis zoo tau raug npaj (cov npe suav nrog ntau dua 23 txhiab daim ntawv thov).
Tau qhov twg los: opennet.ru