ααΆαααΆαααααααααα½ααααααααΌαααΆααααααααα’ααααααααΆααα αααα»ααααααΆααα Log4j 2 (CVE-2021-45105) ααααα»αααΈαααα αΆααΆααααΈααα»ααααααααΌαααΆαα αΆααααααΆααααΆααΆααααααααααΆαα ααα»αααααα·ααααααααααααα αααα αΆααααΈα’αα»ααααΆαα±ααα’αααααααα±ααααΆαααΆαααα·αααααααααΆαααα α αΎααααα αΆαααΆαααΆαα αααα»αααααααααααααα·ααα»α αα·αααΆαααα αααααααΎαααΆααααααΆααααΆααααΆααα ααΆαααΆααααααααααααΌαααΆααα½ααα»ααα αααα»αααΆαα ααααααΆα Log4j 2.17 αααααΆαα ααααααΆαααΆαααΈααα»ααααΆααααααα»αα αααααααααΆααααααΆαααΆααααααααααααΌαααΆαααΆααααααααααααΆααα·ααααααΆαααα αΆααα α‘αΎααα ααΎαααααααααααααΆα Java 8 ααα»αααααα
ααΆαααΆαααααααααααααΆααααααααααααααααααααΎαααα½αααΆαααα·αα (ααΆαααααΎαααα·αα) ααΌα ααΆ ${ctx:var} ααΎααααΈααααααααααααααααααααααααα ααα»α αααα Log4j ααΈ 2.0-alpha1 ααα 2.16.0 ααααααΆαααΆαααΆααααααΆααααΉαααΆαα α α‘αΎααα·αααααα·αα’αΆα αααααααααααΆα αααα’αα»ααααΆαα±ααα’αααααΆααααα αΆααααα αααααααααααΆαααααΎαααα»αααΆααααα½αααΎααααΈααααα±ααααΆαααααα·ααα»α αααααΆαα±ααα’ααααα αααα αα·αααΆαααΆααα ααΆαα·ααααααα αΆααΆαααΎαα‘αΎααα ααααααα½ααααααααΌα ααΆ "${${::-${::-$${::-j}}}} α
ααΎαααΈααα ααΆα’αΆα ααααΌαααΆαααααααααΆααααΆ α’αααααααΆαααααΆαααααΈ Blumira ααΆαααααΎαααααΎααα½αααΎααααΈααΆααααα αΆααααααα·ααΈ Java αααααΆααααααααααααα·αααα½αααααααΎαααααΆαααΆααααα α§ααΆα ααα ααααααααααααα’αααα’αα·αααααα α¬α’αααααααΎααααΆαααααααα·ααΈ Java α’αΆα ααααΌαααΆαααΆααααα αΆαααΆααααααααα ααααΉαααΆααααα·ααΈααΆαααααααΊααΆααααα·αααΎααΆαααααΎαααΆα Java αααααΆαααααααααα ααΎααααααααααααα’αααααααΎαααααα½αααααΆααααααΆαααααααΆαααααΈαααΆαααΈααααα»ααααα»α α¬ααααΎαααΆαααααΎ RMI (Remote Method Invocation, port 1099) ααΆαααΆααααα αΆαα’αΆα ααααΌαααΆαα’αα»αααααααααΌα JavaScript α αα αααα’αααααααΎααααΆααααΎααααααααααΆααΆααα αααα»ααααααα·ααΈαα»ααααααααα½αααα ααΎααααΈαααααΎαααΆααααααΆαααα α ααααααααΆααααααααα·ααΈ Java ααα‘α»ααααααΆαααΆααααα αΆαααα WebSocket API ααααΌαααΆαααααΎ ααααα»αααΈααααΎ HTTP ααΆαααΉααααααΉααααααααΎαααΌα ααααΆαα·αααααΌαααΆαα’αα»αααααα (WebSocket ααα’αΆα ααααΎααΎααααΈαααααα ααααααααΆααα ααΎααΌαααααΆα host ααΎααααΈαααααα§ααααααααααααΆααααααΆααααααΆα) α
ααΆαα αΆααα’αΆαααααααααααααΊαααααααααααΆαααααα»αααααααΆαααα Google ααααΆαααΆααααααααΆαααΆαααααααααααααααΆααααααααΆααααααΉαααΆαα’αΆααααα Log4j α αααααΆα ββGoogle αααα αΆααααααααΆααααα 8% αααααα ααααΆααα’αααα αααα»αααααΆαα Maven Central α ααΆαα·ααα αααα αα Java 35863 αααααααΆααααΆαα½α Log4j ααΆααααααΆαα’αΆααααααααααααΆαα αα·ααααααααααααααΌαααΆααααααΆαααα ααΉαααΆαααΆααααααααα αααα»ααααααΆαα½αααααΆααα Log4j ααααΌαααΆαααααΎααΆααΆαααΉαααα’ααααααα·αααΈαα½ααααααααΆαααααααα»α 17% ααααααΈ α αΎααααα»α 83% αααααα ααααααααααααααΆαα ααΆαα αααααΌαααΆαα’αα»ααααααΆαααααααα ααααααα·αααααααααα’αΆαααααααΎ Log4j αααααΊα§α ααΆααααααααα·αααΈααΈααα·ααααααααΆα (21% - ααααα·αααΈααΈα 12% - ααΈααΈ 14% - ααΈαα½α 26% - ααΈααααΆα 6% - ααΈααααΆααα½α) α ααααΏαααααΆααα½ααα»αααΆαααΆαααααααααα αααα»αα±ααααΆαααΆαα ααααΆα αα½ααααααΆα ααααααΆααααΈααΆαααΆααααααααααααΌαααΆαααααΎα αααα»αα αααααααα ααααααααααα’ααααααααΆαα ααα½α 35863 αααα αΆααααΌαααΆααα½ααα»ααα αΌααααααααααααααααΉααα 4620 ααα»ααααααααααΊα§α αα 13% α
αααααΉαααΉαααα ααΈααααΆααααΆαααΆαααΆαααααα·αα»αα’ααΈαααΊαα·α αα·αα αααααΆαα
ααΆαααααααααααααα ααααα’αΆαααα·αααΆαα
ααααα
ααααΈααααΆααααααΆαααα½αααααααααΌαα±ααααΈααααΆααααΆααα ααααααααααα’ααααααααΆαααααααααααααααΆαααααααααααααΆαααααααΆαααΆαααααααα Log4j αα·αααα‘αΎααα
αα
α»ααααααααΆααααααΆααΆαααααα αΆαααααααΉαααααααΈ 23 ααααααΌα ααααΉαααααααΈ 28 ααααααΌ α’αααααΆαααΆααΆααααΌαααΆαααΆαααα’αααΈααΆαααΆααααααα½αααα ααΎααααΈααΆααααα½ααααα»αααΆααααααα’ααααααααΆααααααααααααααΆααααα αΆ αααααΈααα·ααααααααααΌαααΆααααααΆααααΆαααα αΆαααΆαααΆααααααααααααΌαααΆααααα
α (αααααΈαα½αααΆααααααα·ααΈααΆα 23 ααΆαα)α
ααααα: opennet.ru