Ny vulnerable iray hafa dia hita ao amin'ny tranomboky Log4j 2 (CVE-2021-45105), izay, tsy toy ireo olana roa teo aloha, dia sokajiana ho mampidi-doza, fa tsy mitsikera. Ny olana vaovao dia ahafahanao miteraka fandavana ny serivisy ary miseho amin'ny endrika tadivavarana sy fianjerana rehefa manamboatra tsipika sasany. Ny vulnerability dia napetraka tao amin'ny famoahana Log4j 2.17 navoaka ora vitsy lasa izay. Ny loza ateraky ny vulnerability dia mihena noho ny fisian'ny olana amin'ny rafitra misy Java 8 ihany.
Ny vulnerability dia misy fiantraikany amin'ny rafitra mampiasa fanontaniana momba ny contextual (Context Lookup), toy ny ${ctx:var}, mba hamaritana ny endrika famoahana log. Ny dikan-teny Log4j avy amin'ny 2.0-alpha1 ka hatramin'ny 2.16.0 dia tsy nanana fiarovana amin'ny fiverenana tsy voafehy, izay nahafahan'ny mpanafika iray nanodikodina ny sanda ampiasaina amin'ny fanoloana mba hahatonga ny loop, izay nitarika ho amin'ny faharerahana ny habaka stack sy ny fianjerana. Indrindra indrindra, nitranga ny olana tamin'ny fanoloana soatoavina toy ny "${${::-${::-$${::-j}}}}".
Fanampin'izany, azo marihina fa ny mpikaroka avy ao amin'ny Blumira dia nanolotra safidy hanafika ireo rindranasa Java marefo izay tsy manaiky ny fangatahana tambajotra ivelany; ohatra, ny rafitry ny mpamorona na mpampiasa ny rindranasa Java dia azo voatafika amin'izany fomba izany. Ny fototry ny fomba dia ny hoe raha misy vulnerable Java dingana ao amin'ny rafitry ny mpampiasa izay manaiky ny tambajotra fifandraisana afa-tsy amin'ny mpampiantrano eo an-toerana, na ny fangatahana RMI (Remote Method Invocation, port 1099), ny fanafihana dia azo tanterahina amin'ny alalan'ny JavaScript code executed. rehefa manokatra pejy maloto ao amin'ny mpitety azy ny mpampiasa. Mba hametrahana fifandraisana amin'ny seranan-tsambon'ny rindranasa Java mandritra ny fanafihana toy izany, dia ampiasaina ny WebSocket API, izay, tsy toy ny fangatahana HTTP, dia tsy misy fameperana mitovy amin'ny niaviany (WebSocket dia azo ampiasaina koa hijerena ny seranan-tsambo eo an-toerana. mpampiantrano mba hamaritana ireo mpitantana tambajotra misy).
Mahaliana ihany koa ny valiny navoakan'ny Google momba ny fanombanana ny fahalemen'ny tranomboky mifandray amin'ny fiankinan'ny Log4j. Araka ny filazan'i Google, ny olana dia misy fiantraikany amin'ny 8% amin'ny fonosana rehetra ao amin'ny tahiry Maven Central. Indrindra indrindra, fonosana Java 35863 mifandraika amin'ny Log4j amin'ny alΓ lan'ny fiankinan-doha mivantana sy ankolaka no tratran'ny vulnerability. Amin'izany fotoana izany, ny Log4j dia ampiasaina ho fiankinan-doha mivantana amin'ny ambaratonga voalohany amin'ny 17% amin'ny tranga, ary amin'ny 83% amin'ireo fonosana voakasika, ny fatorana dia atao amin'ny alΓ lan'ny fonosana manelanelana izay miankina amin'ny Log4j, izany hoe. fiankinan-doha amin'ny ambaratonga faharoa sy ambony (21% - ambaratonga faharoa, 12% - fahatelo, 14% - fahefatra, 26% - fahadimy, 6% - fahenina). Mbola miandry betsaka ny hafainganan'ny fanamboarana ny vulnerability; herinandro taorian'ny nahafantarana ny vulnerable, amin'ireo fonosana 35863 fantatra, dia 4620 ihany no voavaha ny olana hatreto, izany hoe. amin'ny 13%.
Nandritra izany fotoana izany, ny US Cybersecurity and Infrastructure Protection Agency dia namoaka torolΓ lana maika mitaky ny masoivoho federaly hamantatra ireo rafitra fampahalalam-baovao voakasiky ny vulnerability Log4j ary hametraka fanavaozana izay manakana ny olana amin'ny 23 Desambra. Ny 28 desambra dia tsy maintsy manao tatitra momba ny asany ny fikambanana. Mba hanatsorana ny famantarana ny rafitra misy olana, ny lisitry ny vokatra izay voamarina fa mampiseho ny fahalemena dia nomanina (ny lisitra dia misy fampiharana mihoatra ny 23 arivo).
Source: opennet.ru