Nuglaanta kale ayaa lagu aqoonsaday maktabadda Log4j 2 (CVE-2021-45105), taas oo ka duwan labadii dhibaato ee hore, loo kala saaray inay tahay khatar, laakiin aan muhiim ahayn. Arrinka cusubi wuxuu kuu ogolaanayaa inaad keento diidmada adeegga waxayna isu muujisaa qaabka loops iyo shilalka marka la shaqeynayo khadadka qaarkood. Nuglaanta waxaa lagu hagaajiyay Log4j 2.17 siideynta saacado ka hor. Khatarta nuglaanta waxaa la yareeyay xaqiiqda ah in dhibaatadu ay ka muuqato kaliya nidaamyada leh Java 8.
Nuglaanta waxay saamaysaa nidaamyada adeegsada weydiimaha macnaha guud (Context Lookup), sida ${ctx:var}, si loo go'aamiyo qaabka wax soo saarka log. Noocyada Log4j ee 2.0-alpha1 ilaa 2.16.0 ayaa ka ilaalin la'aanta soo noqoshada aan la xakameynin, taas oo u ogolaatay weeraryahanku inuu wax ka beddelo qiimaha loo isticmaalo beddelka si uu u keeno wareeg, taasoo horseedaysa daal badan oo boos ah iyo shil. Gaar ahaan, dhibaatadu waxay dhacday markii la beddelayo qiyamka sida "${${::-${::-$${::-j}}}}".
Intaa waxaa dheer, waxaa la ogaan karaa in cilmi-baarayaasha Blumira ay soo jeediyeen ikhtiyaarka lagu weerarayo codsiyada Java ee nugul ee aan aqbalin codsiyada shabakadaha dibadda; tusaale ahaan, nidaamyada horumarinta ama isticmaalayaasha codsiyada Java ayaa sidan oo kale loo weerari karaa. Nuxurka habka ayaa ah in haddii ay jiraan habab Java nugul oo ku saabsan nidaamka isticmaalaha ee aqbala isku xirka shabakada kaliya ee martigeliyaha maxalliga ah, ama habka codsiyada RMI (Codsiga Habka Fog, dekedda 1099), weerarka waxaa lagu fulin karaa code JavaScript la fuliyay. marka isticmaalayaashu ay bog xaasidnimo ah ka furtaan browserkooda. Si loo sameeyo isku xirka dekedda shabakadda ee codsiga Java inta lagu jiro weerarkan oo kale, WebSocket API ayaa la isticmaalaa, kaas oo, ka duwan codsiyada HTTP, xaddidaadaha asalka ah lama dabaqo (WebSocket sidoo kale waxaa loo isticmaali karaa in lagu sawiro dekedaha shabakadaha gudaha martigeliyaha si loo go'aamiyo maamulayaasha shabakada ee la heli karo).
Sidoo kale xiisaha ayaa ah natiijooyinka ay daabacday Google ee qiimeynta dayacanka maktabadaha ee la xiriira ku tiirsanaanta Log4j. Sida laga soo xigtay Google, dhibaatadu waxay saamaysaa 8% dhammaan xirmooyinka ku jira kaydka Maven Central. Gaar ahaan, 35863 xirmo Java ah oo la xidhiidha Log4j iyada oo loo marayo ku-tiirsanaanta tooska ah iyo kuwa aan tooska ahayn ayaa loo soo bandhigay baylahda. Isla mar ahaantaana, Log4j waxaa loo isticmaalaa sida ku-tiirsanaanta heerka koowaad ee tooska ah kaliya 17% kiisaska, iyo 83% xirmooyinka ay saameeyeen, xiritaanka waxaa lagu fuliyaa xirmo dhexdhexaad ah oo ku xiran Log4j, i.e. qabatinka heerka labaad iyo sare (21% - heerka labaad, 12% - saddexaad, 14% - afraad, 26% - shanaad, 6% - lixaad). Xawaaraha hagaajinta nuglaanta ayaa weli ka tagaysa wax badan oo la rabo; usbuuc ka dib markii la aqoonsaday nuglaanta, 35863 xirmo oo la aqoonsaday, dhibaatada ayaa lagu hagaajiyay ilaa hadda kaliya 4620, i.e. 13%.
Dhanka kale, Hay'adda Ilaalinta Kaabayaasha Internetka ee Mareykanka ayaa soo saartay awaamiir deg-deg ah oo looga baahan yahay hay'adaha federaalka inay aqoonsadaan nidaamyada macluumaadka ee ay saameysay nuglaanta Log4j oo ay ku rakibaan cusboonaysiinta dhibaatada xannibaysa Diseembar 23. Diseembar 28, ururada waxaa laga rabaa inay ka warbixiyaan shaqadooda. Si loo fududeeyo aqoonsiga nidaamyada dhibaatada leh, liiska alaabooyinka la xaqiijiyay si ay u muujiyaan dayacanka ayaa la diyaariyay (liiska waxaa ku jira in ka badan 23 kun oo codsi).
Source: opennet.ru