Achọpụtala adịghị ike ọzọ na ọbá akwụkwọ Log4j 2 (CVE-2021-45105), nke, n'adịghị ka nsogbu abụọ gara aga, bụ nkewa dị ka ihe dị ize ndụ, mana ọ bụghị ihe dị egwu. Okwu ọhụrụ ahụ na-enye gị ohere ime ka ịgọnarị ọrụ ma gosipụta onwe ya n'ụdị loops na mkpọka mgbe ị na-edozi ụfọdụ ahịrị. Edobere adịghị ike ahụ na mwepụta Log4j 2.17 wepụtara awa ole na ole gara aga. A na-ebelata ihe egwu nke adịghị ike site n'eziokwu ahụ bụ na nsogbu ahụ na-apụta naanị na sistemụ nwere Java 8.
Ọdịmma ahụ na-emetụta sistemu ndị na-eji ajụjụ ọnọdụ (Context Lookup), dị ka ${ctx:var}, iji chọpụta usoro mmepụta log. Ụdị Log4j sitere na 2.0-alpha1 ruo 2.16.0 enweghị nchebe megide nlọghachi azụ a na-achịkwaghị achịkwa, nke nyere onye na-awakpo ohere ịchịkwa uru e ji dochie anya iji mee ka ọnyà, na-eduga na ike ọgwụgwụ nke oghere nchịkọta na mkpọka. Karịsịa, nsogbu ahụ mere mgbe edochiri ụkpụrụ dị ka "${${::-${::-$${::-j}}}}".
Na mgbakwunye, enwere ike ịmara na ndị nyocha si Blumira atụpụtala nhọrọ ịwakpo ngwa Java adịghị ike nke na-anabataghị arịrịọ netwọkụ mpụga; dịka ọmụmaatụ, sistemụ ndị mmepe ma ọ bụ ndị ọrụ nke ngwa Java nwere ike ịwakpo otu a. Ihe kachasị mkpa nke usoro a bụ na ọ bụrụ na usoro Java adịghị ike na sistemụ onye ọrụ na-anabata njikọ netwọk naanị site na onye na-elekọta obodo, ma ọ bụ nhazi arịrịọ RMI (Invocation Remote Method, Port 1099), enwere ike ime mwakpo ahụ site na koodu Javascript gburu. mgbe ndị ọrụ mepere ibe ọjọọ na ihe nchọgharị ha. Iji guzobe njikọ na ọdụ ụgbọ mmiri nke ngwa Java n'oge mwakpo dị otú ahụ, a na-eji WebSocket API, nke, n'adịghị ka arịrịọ HTTP, anaghị etinye ihe mgbochi sitere na otu (WebSocket nwekwara ike iji nyochaa ọdụ ụgbọ mmiri netwọk na mpaghara). onye ọbịa iji chọpụta ndị njikwa netwọk dị).
Ihe ọzọ masịrị ya bụ nsonaazụ Google bipụtara nke nyocha adịghị ike nke ụlọ akwụkwọ ọbá akwụkwọ jikọtara na ndabere Log4j. Dabere na Google, nsogbu ahụ na-emetụta 8% nke ngwugwu niile dị na ebe nchekwa Maven Central. Karịsịa, ngwugwu Java 35863 jikọtara ya na Log4j site na ịdabere ozugbo na nke na-apụtaghị ìhè ekpughere na adịghị ike. N'otu oge ahụ, a na-eji Log4j dị ka ịdabere na ọkwa mbụ naanị na 17% nke ikpe, na na 83% nke ngwugwu emetụtara, a na-eme njikọ ahụ site na nchịkọta etiti na-adabere na Log4j, i.e. riri ahụ nke abụọ na ọkwa dị elu (21% - ọkwa nke abụọ, 12% - atọ, 14% - anọ, 26% - ise, 6% - isii). Ọsọ nke idozi adịghị ike ahụ ka na-ahapụ ọtụtụ ihe achọrọ; otu izu ka achọpụtara adịghị ike ahụ, n'ime ngwugwu 35863 achọpụtara, edozila nsogbu ahụ ka ọ dị naanị 4620, ya bụ. na 13%.
Ka ọ dị ugbu a, US Cybersecurity na Nchekwa akụrụngwa nyere ntuziaka mberede chọrọ ụlọ ọrụ gọọmentị ka ha chọpụta sistemụ ozi nke adịghị ike Log4j metụtara ma wụnye mmelite na-egbochi nsogbu ahụ ka ọ na-erule Disemba 23. Ka ọ na-erule Disemba 28, a ga-achọ ka ndị otu dị iche iche kọọ akụkọ banyere ọrụ ha. Iji mee ka njirimara nke usoro nsogbu dị mfe, a kwadebere ndepụta ngwaahịa ndị akwadoro iji gosipụta adịghị ike (ndepụta ahụ gụnyere ihe karịrị 23 puku ngwa).
isi: opennet.ru