Kotsi e 'ngoe e fumanoe laebraring ea Log4j 2 (CVE-2021-45105), eo, ho fapana le mathata a mabeli a fetileng, e hlalosoang e le kotsi, empa e seng ea bohlokoa. Taba e ncha e u lumella ho etsa hore u hane tšebeletso 'me e iponahatse ka mokhoa oa li-loops le ho senyeha ha u sebetsana le mela e itseng. Kotsi e ile ea lokisoa tokollong ea Log4j 2.17 e lokollotsoeng lihora tse 'maloa tse fetileng. Kotsi ea ho ba kotsing e fokotsoa ke taba ea hore bothata bo hlaha feela lits'ebetsong tse nang le Java 8.
Kotsi e ama litsamaiso tse sebelisang lipotso tse amanang le litaba (Context Lookup), joalo ka ${ctx:var}, ho fumana hore na mokhoa oa ho hlahisa litaba ke ofe. Liphetolelo tsa Log4j ho tloha 2.0-alpha1 ho ea ho 2.16.0 li ne li haelloa ke tšireletso khahlanong le ho pheta-pheta ho sa laoleheng, e leng se ileng sa lumella mohlaseli ho laola boleng bo sebelisitsoeng sebakeng sa ho baka loop, e lebisang ho felloa ke matla ha sebaka sa stack le ho oa. Haholo-holo, bothata bo etsahetse ha ho behiloe maemo a kang "${${::-${::-$${::-j}}}}".
Ho feta moo, ho ka hlokomeloa hore bafuputsi ba Blumira ba hlahisitse khetho ea ho hlasela lits'ebetso tsa Java tse tlokotsing tse sa amoheleng likopo tsa marang-rang tsa kantle; mohlala, lits'ebetso tsa bahlahisi kapa basebelisi ba lits'ebetso tsa Java li ka hlaseloa ka tsela ena. Motheo oa mokhoa ona ke hore haeba ho na le lits'ebetso tsa Java tse tlokotsing tsamaisong ea mosebelisi tse amohelang likhokahano tsa marang-rang feela ho tsoa ho moamoheli oa lehae, kapa ho sebetsana le likopo tsa RMI (Remote Method Invocation, port 1099), tlhaselo e ka etsoa ka khoutu ea JavaScript e phethiloe. ha basebelisi ba bula leqephe le kotsi ho sebatli sa bona. Ho theha khokahano ho koung ea marang-rang ea sesebelisoa sa Java nakong ea tlhaselo e joalo, ho sebelisoa WebSocket API, eo ho eona, ho fapana le likopo tsa HTTP, lithibelo tsa tšimoloho e tšoanang ha li sebelisoe (WebSocket e ka sebelisoa hape ho lekola likou tsa marang-rang sebakeng sa heno. moamoheli molemong oa ho fumana li-network handlers tse fumanehang).
Ntho e 'ngoe e khahlang ke liphetho tse phatlalalitsoeng ke Google tsa ho lekola bofokoli ba lilaebrari tse amanang le ho itšetleha ka Log4j. Ho latela Google, bothata bo ama 8% ea liphutheloana tsohle tse polokelong ea Maven Central. Haholo-holo, liphutheloana tsa Java tse 35863 tse amanang le Log4j ka ho itšetleha ka ho toba le ka tsela e sa tobang li ile tsa pepesetsoa bofokoli. Ka nako e ts'oanang, Log4j e sebelisoa e le ho itšetleha ka mokhoa o tobileng oa boemo ba pele feela ho 17% ea linyeoe, 'me ho 83% ea liphutheloana tse amehileng, tlamahano e etsoa ka liphutheloana tse mahareng tse itšetlehileng ka Log4j, i.e. bokhoba ba boemo ba bobeli le bo phahameng (21% - boemo ba bobeli, 12% - ea boraro, 14% - bone, 26% - ea bohlano, 6% - ea botšelela). Lebelo la ho lokisa bofokoli le ntse le siea lintho tse ngata tse lakatsehang; beke ka mor'a hore ho tšoaroe bofokoli, ho tsoa ho liphutheloana tse 35863 tse khethiloeng, bothata bo se bo lokisitsoe ho fihlela joale ka 4620 feela, ke hore. ka 13%.
Ho sa le joalo, US Cybersecurity and Infrastructure Protection Agency e fane ka taelo ea tšohanyetso e hlokang mekhatlo ea mmuso ho tsebahatsa lits'ebetso tsa tlhahisoleseling tse anngoeng ke ts'oaetso ea Log4j le ho kenya liapdeite tse thibelang bothata ka la 23 Tšitoe. Ka la 28 Tšitoe, mekhatlo e tlameha ho tlaleha mosebetsi oa eona. Ho nolofatsa ho tsebahatsa litsamaiso tse nang le mathata, lethathamo la lihlahisoa tse netefalitsoeng ho bonts'a bofokoli li lokisitsoe (lenane le kenyelletsa likopo tse fetang likete tse 23).
Source: opennet.ru