Ko tetahi atu whakaraeraetanga kua kitea i roto i te whare pukapuka Log4j 2 (CVE-2021-45105), kaore i rite ki nga raruraru e rua o mua, ka kiia he kino, engari ehara i te mea nui. Ko te take hou ka taea e koe te whakakore i te ratonga me te whakaatu i a ia ano i te ahua o nga koropiko me nga tukinga i te wa e tukatuka ana i etahi raina. I whakatauhia te whakaraeraetanga i roto i te putanga Log4j 2.17 i tukuna i etahi haora i mua. Ko te kino o te whakaraeraetanga ka whakaitihia na te mea ka puta noa te raru ki nga punaha whai Java 8.
Ko te whakaraeraetanga ka pa ki nga punaha e whakamahi ana i nga patai horopaki (Tirohanga Horopaki), penei i te ${ctx:var}, hei whakatau i te whakatakotoranga putanga rangitaki. Ko nga putanga Log4j mai i te 2.0-alpha1 ki te 2.16.0 karekau he whakamarumaru ki te hokinga mai, i taea ai e te kaitukino te raweke i te uara i whakamahia hei whakakapinga kia puta he kopikopiko, ka pau te mokowā tāpae me te tukinga. Ina koa, i puta te raru i te whakakapi i nga uara penei i te "${${::-${::-$${::-j}}}}".
I tua atu, ka taea te tohu ko nga kairangahau mai i Blumira i whakatakoto he whiringa ki te whakaeke i nga tono Java whakaraerae kaore e whakaae ki nga tono whatunga o waho; hei tauira, ka taea te whakaeke i nga punaha o nga kaiwhakawhanake me nga kaiwhakamahi o nga tono Java penei. Ko te tino tikanga o te tikanga mena he whakaraerae nga tukanga Java i runga i te punaha a te kaiwhakamahi e whakaae ana ki nga hononga whatunga mai i te kaihautu o te rohe, ki te whakahaere ranei i nga tono RMI (Te Tikanga Mamao, tauranga 1099), ka taea te whakaeke ma te waehere JavaScript ka mahia. ina whakatuwhera nga kaiwhakamahi i tetahi wharangi kino i roto i to raatau tirotiro. Hei whakarite hononga ki te tauranga whatunga o tetahi tono Java i te wa o taua whakaeke, ka whakamahia te WebSocket API, kaore i rite ki nga tono HTTP, kaore i te whakamahia nga here-taketake (Ka taea hoki te whakamahi i te WebSocket ki te matawai i nga tauranga whatunga i te rohe. kaihautu hei whakatau i nga kaihautu whatunga e waatea ana).
Ko te mea pai ko nga hua i whakaputaina e Google mo te aromatawai i te whakaraeraetanga o nga whare pukapuka e pa ana ki nga whakawhirinakitanga Log4j. E ai ki a Google, ko te raruraru ka pa ki te 8% o nga kohinga katoa i roto i te whare pupuri Maven Central. Ina koa, 35863 nga kohinga Java e hono ana ki a Log4j na roto i nga whakawhirinakitanga tika me te autaki i kitea ki nga whakaraeraetanga. I te wa ano, ka whakamahia a Log4j hei whakawhirinakitanga taumata tuatahi tika i roto i te 17% o nga keehi, a, i roto i te 83% o nga kohinga kua pa, ka whakahaerehia te herenga ma roto i nga kohinga takawaenga e whakawhirinaki ana ki a Log4j, ara. te waranga o te taumata tuarua me te taumata teitei ake (21% - taumata tuarua, 12% - tuatoru, 14% - tuawha, 26% - tuarima, 6% - tuaono). Ko te tere o te whakatika i te whakaraeraetanga he nui tonu te hiahia; he wiki i muri i te kitenga o te whakaraeraetanga, i roto i te 35863 nga kohinga kua tautuhia, kua whakatikahia te raru i tenei wa i roto i te 4620 anake, ara. i te 13%.
I taua wa, ka tukuna e te US Cybersecurity and Infrastructure Protection Agency he whakahau ohorere e kii ana i nga tari a te kawanatanga ki te tautuhi i nga punaha korero e pa ana ki te whakaraeraetanga o Log4j me te whakauru i nga whakahoutanga e aukati ana i te raru i te Hakihea 23. Hei te Hakihea 28, me tuku ripoata nga whakahaere mo a raatau mahi. Hei whakamaarama i te tautuhi i nga punaha raruraru, kua whakaritea he rarangi o nga hua kua whakapumautia hei whakaatu whakaraeraetanga (kei roto i te rarangi neke atu i te 23 mano nga tono).
Source: opennet.ru