Log4j 2 စာကြည့်တိုက် (CVE-2021-45105) တွင် ယခင်ပြဿနာနှစ်ခုနှင့်မတူဘဲ အန္တရာယ်အဖြစ် သတ်မှတ်ထားသော်လည်း မစိုးရိမ်ရပါ။ ပြဿနာအသစ်သည် သင့်အား ဝန်ဆောင်မှုအား ငြင်းဆိုခြင်းကို ဖြစ်စေနိုင်ပြီး အချို့သောလိုင်းများကို လုပ်ဆောင်သည့်အခါတွင် လှည့်ပတ်မှုများနှင့် ပျက်သွားခြင်းပုံစံဖြင့် ၎င်းကို ထင်ရှားစေသည်။ လွန်ခဲ့သော နာရီအနည်းငယ်က ထုတ်ပြန်ခဲ့သော Log4j 2.17 ဖြန့်ချိမှုတွင် အားနည်းချက်ကို ပြင်ဆင်ခဲ့သည်။ ပြဿနာသည် Java 8 နှင့် စနစ်များတွင်သာ ပေါ်လာသောကြောင့် အားနည်းချက်၏အန္တရာယ်ကို လျော့ပါးစေပါသည်။
အားနည်းချက်သည် မှတ်တမ်းအထွက်ဖော်မတ်ကို ဆုံးဖြတ်ရန် ${ctx:var} ကဲ့သို့သော ဆက်စပ်မေးခွန်းများ (Context Lookup) ကို အသုံးပြုသည့် စနစ်များကို အကျိုးသက်ရောက်စေသည်။ 4-alpha2.0 မှ 1 မှ Log2.16.0j ဗားရှင်းများသည် အထိန်းအကွပ်မဲ့ recursion မှ အကာအကွယ် ကင်းမဲ့ကာ တိုက်ခိုက်သူတစ်ဦးသည် အစားထိုးမှုတွင် အသုံးပြုသည့်တန်ဖိုးကို loop တစ်ခုဖြစ်ပေါ်စေပြီး stack space ကုန်ဆုံးစေပြီး ပျက်စီးမှုဖြစ်စေသည်။ အထူးသဖြင့်၊ "${${::-${::-$${::-j}}}}" ကဲ့သို့သော တန်ဖိုးများကို အစားထိုးသည့်အခါ ပြဿနာ ဖြစ်ပွားခဲ့သည်။
ထို့အပြင်၊ Blumira မှ သုတေသီများသည် ပြင်ပကွန်ရက်တောင်းဆိုမှုများကို လက်မခံသော အားနည်းချက်ရှိသော Java အပလီကေးရှင်းများကို တိုက်ခိုက်ရန် ရွေးချယ်ခွင့်တစ်ခုကို အဆိုပြုထားသည်ကို မှတ်သားနိုင်သည်၊ ဥပမာ၊ developer သို့မဟုတ် Java applications များ၏ အသုံးပြုသူများ၏ စနစ်များကို ဤနည်းဖြင့် တိုက်ခိုက်နိုင်သည်။ နည်းလမ်း၏ အနှစ်သာရမှာ local host မှသာလျှင် ကွန်ရက်ချိတ်ဆက်မှုများကို လက်ခံသော အသုံးပြုသူ၏စနစ်တွင် အားနည်းချက်ရှိသော Java လုပ်ငန်းစဉ်များ သို့မဟုတ် RMI တောင်းဆိုမှုများကို လုပ်ဆောင်ခြင်း (Remote Method Invocation၊ port 1099) သည် JavaScript ကုဒ်ကို ကုဒ်ဖြင့် လုပ်ဆောင်ပါက တိုက်ခိုက်မှုကို လုပ်ဆောင်နိုင်သည်။ အသုံးပြုသူများသည် ၎င်းတို့၏ဘရောက်ဆာတွင် အန္တရာယ်ရှိသော စာမျက်နှာတစ်ခုကို ဖွင့်သောအခါ။ ထိုသို့သောတိုက်ခိုက်မှုတစ်ခုအတွင်း Java အပလီကေးရှင်းတစ်ခု၏ကွန်ရက်ဆိပ်ကမ်းသို့ချိတ်ဆက်မှုတစ်ခုတည်ဆောက်ရန်၊ HTTP တောင်းဆိုမှုများနှင့်မတူဘဲ၊ တူညီသောမူလကန့်သတ်ချက်များကိုအသုံးပြုခြင်းမရှိသော WebSocket API ကိုအသုံးပြုသည် (WebSocket သည် ဒေသတွင်းရှိ ကွန်ရက်ဆိပ်ကမ်းများကိုစကင်န်ဖတ်ရန်အတွက်လည်းအသုံးပြုနိုင်ပါသည်။ ရရှိနိုင်သော ကွန်ရက်ကိုင်တွယ်သူများကို ဆုံးဖြတ်ရန်အတွက် လက်ခံဆောင်ရွက်ပေးသည်)။
Log4j မှီခိုမှုများနှင့် ဆက်စပ်နေသော စာကြည့်တိုက်များ၏ အားနည်းချက်ကို အကဲဖြတ်ခြင်းအတွက် Google မှ ထုတ်ပြန်သည့် ရလဒ်များမှာလည်း စိတ်ဝင်စားဖွယ်ဖြစ်သည်။ Google ၏အဆိုအရ အဆိုပါပြဿနာသည် Maven Central repository ရှိ ပက်ကေ့ဂျ်အားလုံး၏ 8% ကို သက်ရောက်မှုရှိသည်။ အထူးသဖြင့်၊ Log35863j နှင့် ဆက်စပ်နေသည့် 4 Java ပက်ကေ့ဂျ်များကို တိုက်ရိုက်နှင့် သွယ်ဝိုက်သော မှီခိုမှုများမှတစ်ဆင့် အားနည်းချက်များနှင့် ထိတွေ့ခဲ့သည်။ တစ်ချိန်တည်းမှာပင်၊ Log4j ကို အမှုအခင်းများ၏ 17% တွင်သာ တိုက်ရိုက်ပထမအဆင့် မှီခိုမှုအဖြစ် အသုံးပြုပြီး သက်ရောက်မှုရှိသော ပက်ကေ့ဂျ်များ၏ 83% တွင်၊ Log4j ပေါ် မူတည်သည့် အလယ်အလတ်ပက်ကေ့ဂျ်များမှတဆင့် စည်းနှောင်ခြင်းကို လုပ်ဆောင်ပါသည်။ ဒုတိယနှင့်ပိုမိုမြင့်မားသောအဆင့် (21% - ဒုတိယအဆင့်, 12% - တတိယ, 14% - စတုတ္ထ, 26% - ပဉ္စမ, 6% - ဆဌမ) ။ အားနည်းချက်ကို ပြုပြင်ရန် အရှိန်အဟုန်သည် လိုချင်စရာများစွာ ကျန်နေသေးသည်၊ အားနည်းချက်ကို ဖော်ထုတ်ပြီးနောက် တစ်ပတ်အကြာတွင်၊ ဖော်ထုတ်ထားသော ပက်ကေ့ခ်ျ 35863 တွင် ပြဿနာ 4620 သာ ပြေလည်သွားသည် ဟုဆိုသည်။ 13% မှာ။
ထိုအတောအတွင်း၊ US Cybersecurity and Infrastructure Protection Agency သည် Log4j အားနည်းချက်ကြောင့် သက်ရောက်မှုရှိသော သတင်းအချက်အလက်စနစ်များကို ဖော်ထုတ်ရန်နှင့် ဒီဇင်ဘာ 23 ရက်နေ့ နောက်ဆုံးထား၍ ပြဿနာကိုပိတ်ဆို့မည့် အပ်ဒိတ်များကို ထည့်သွင်းရန် ပြည်ထောင်စုအေဂျင်စီများအား အရေးပေါ်ညွှန်ကြားချက်ကို ထုတ်ပြန်ခဲ့သည်။ ဒီဇင်ဘာလ 28 ရက်နေ့ နောက်ဆုံးထားပြီး အဖွဲ့အစည်းများက ၎င်းတို့၏ လုပ်ငန်းများကို အစီရင်ခံရန် လိုအပ်ပါသည်။ ပြဿနာရှိသော စနစ်များကို ဖော်ထုတ်ရာတွင် ရိုးရှင်းစေရန်၊ အားနည်းချက်များကို ပြသရန် အတည်ပြုထားသော ထုတ်ကုန်များစာရင်းကို ပြင်ဆင်ပြီးဖြစ်သည် (စာရင်းတွင် လျှောက်လွှာပေါင်း ၂၃ဝဝဝ ကျော် ပါဝင်သည်)။
source: opennet.ru