O le isi faʻafitauli ua faʻaalia i totonu o le Log4j 2 faletusi (CVE-2021-45105), lea, e le pei o faʻafitauli muamua e lua, o loʻo faʻavasegaina o se mea mataʻutia, ae le o se faʻalavelave. O le mataupu fou e mafai ai e oe ona faʻatupuina se faʻafitia o le tautua ma faʻaalia i le tulaga o faʻamalo ma faʻalavelave pe a faʻagaoioia ni laina. O le faʻafitauli na faʻamautu i le Log4j 2.17 faʻamalolo na tuʻuina atu i nai itula talu ai. O le lamatiaga o le faʻafitauli e faʻaitiitia e le mea moni e naʻo le faʻafitauli e aliali mai i luga o faiga faʻatasi ma Java 8.
O le fa'aletonu e a'afia ai faiga e fa'aogaina ai fesili fa'atatau (Context Lookup), e pei o le ${ctx:var}, e fa'amautu ai le fa'asologa o fa'asologa o tala. Log4j versions mai le 2.0-alpha1 i le 2.16.0 e leai se puipuiga mai le le pulea o le toe faʻaleleia, lea na mafai ai e se tagata osofaʻi ona faʻaogaina le tau o loʻo faʻaaogaina i le suitulaga e mafua ai se matasele, e oʻo atu ai i le vaivai o le avanoa faʻapipiʻi ma se faʻalavelave. Aemaise lava, o le faʻafitauli na tupu ina ua sui tulaga e pei o le "${${::-${::-$${::-j}}}}".
E le gata i lea, e mafai ona maitauina o tagata suʻesuʻe mai Blumira na tuʻuina atu se filifiliga e osofaʻia ai Java talosaga vaivai e le taliaina talosaga fesoʻotaʻiga i fafo; mo se faʻataʻitaʻiga, e mafai ona osofaʻia i lenei auala le faiga o tagata atiaʻe poʻo tagata faʻaoga Java. O le ute o le auala e faapea afai o loʻo i ai faʻafitauli Java vaivai i luga o le polokalama a le tagata faʻaoga e talia naʻo fesoʻotaʻiga fesoʻotaʻiga mai le tagata talimalo i le lotoifale, poʻo le faʻagasologa o talosaga RMI (Remote Method Invocation, port 1099), o le osofaʻiga e mafai ona faia e le code JavaScript executed pe a tatalaina e tagata faʻaoga se itulau leaga i la latou suʻega. Ina ia faʻatuina se fesoʻotaʻiga i le upega tafaʻilagi o se Java talosaga i le taimi o se osofaʻiga, o le WebSocket API o loʻo faʻaaogaina, lea, e le pei o talosaga HTTP, e le faʻaaogaina faʻatapulaʻaina (WebSocket e mafai foi ona faʻaogaina e suʻesuʻe pusa fesoʻotaiga i luga o le lotoifale. talimalo ina ia mafai ai ona fuafua tagata faʻafesoʻotaʻi avanoa).
O le mea e fiafia i ai o fa'ai'uga na lomia e Google o le su'esu'eina o le fa'aletonu o faletusi e feso'ota'i ma fa'alagolago Log4j. E tusa ai ma Google, o le faʻafitauli e aʻafia ai le 8% o afifi uma i totonu o le faleoloa Maven Central. Aemaise lava, 35863 Java afifi e fesoʻotaʻi ma Log4j e ala i faʻalagolago tuusaʻo ma le faʻalagolago na faʻaalia i faʻafitauli. I le taimi lava e tasi, o le Log4j o loʻo faʻaaogaina e avea o se faʻalagolago saʻo muamua i le 17% o mataupu, ma i le 83% o afifi afaina, o le fusifusia e faia e ala i pusa vavalalata e faʻalagolago i Log4j, i.e. vaisu o le tulaga lona lua ma le maualuga (21% - tulaga lua, 12% - tolu, 14% - fa, 26% - lima, 6% - ono). O le saoasaoa o le faʻaleleia o le faʻafitauli o loʻo totoe pea le tele o mea e manaʻomia; i le vaiaso talu ona faʻaalia le faʻafitauli, mai le 35863 faʻamatalaga faʻamaonia, o le faʻafitauli ua toe faʻaleleia e na o le 4620, i.e. i le 13%.
I le taimi nei, na tuʻuina atu e le US Cybersecurity and Infrastructure Protection Agency se faʻatonuga faʻafuaseʻi e manaʻomia ai ofisa feterale e faʻailoa faiga faʻamatalaga e aʻafia i le Log4j vaivai ma faʻapipiʻi faʻafouga e poloka ai le faʻafitauli ia Tesema 23. E oo atu i le aso 28 o Tesema, e tatau i faalapotopotoga ona lipoti atu a latou galuega. Ina ia faʻafaigofie le faʻamaoniaina o faiga faʻafitauli, o se lisi o oloa ua faʻamaonia e faʻaalia ai faʻafitauli ua saunia (o le lisi e aofia ai le sili atu i le 23 afe talosaga).
puna: opennet.ru