Agaasimaha CISA, Jen Easterly waxay leedahay cilada amniga Log4j waa tii ugu darnayd ee ay aragto in uu xanbaarsan yahay iyo Xirfadlayaasha amniga ayaa wajihi doona cawaaqibka khaladka ka yimid muddo dheer.
Haddi la iska daayo Ciladda ugu weyn ee amniga ee laga helay bil ka hor maktabadda qorista ee Java Apache Log4j waxay khatar ku tahay qaybaha waaweyn ee internetka, Hackers-ku waxay ka faa'iidaysan karaan nuglaanshaha software-ka aadka loo isticmaalo si ay u afduubaan server-yada kombuyuutarrada, iyaga oo wax walba gelinaya qalabka elektaroonigga ah ee dawladda iyo nidaamka shirkadaha khatarta ah ee weerarka internetka.
December 9, ayaa la ogaaday nuglaansanaanta ku jirta maktabadda log4j Apache. Maktabaddan waxaa si weyn loogu adeegsadaa mashaariicda horumarinta codsiyada Java/J2EE, iyo sidoo kale bixiyeyaasha xalinta software-ka Java/J2EE ee caadiga ah.
Log4j waxa ku jira hannaan goobid oo loo isticmaali karo in wax lagu weydiiyo iyada oo loo marayo syntax gaar ah oo xardhan qaab ah. Sida caadiga ah, dhammaan codsiyada waxaa lagu sameeyaa Java horgalaha: comp / env / *; laakiin si kastaba ha ahaatee, Qorayaashu waxay hirgeliyeen ikhtiyaarka ah inay isticmaalaan horgale caado ah iyadoo la isticmaalayo calaamadda mindhicirka ee jeexjeexa. Halkani waa meesha ay u nuglaadaan: haddii jndi: ldap: // loo isticmaalo furaha, codsigu wuxuu tagayaa server-ka LDAP ee cayiman. Nidaamyada kale ee isgaarsiinta sida LDAPS, DNS, iyo RMI sidoo kale waa la isticmaali karaa.
Sidaa darteed, server-ka fog ee uu gacanta ku hayo weeraryahanku waxa uu shay ku celin karaa server nugul, taaso u horseedi karta in nidaamka si sharci ah lagu fuliyo kood ama xog sir ah oo la daadiyo. Waxa kaliya ee uu weeraryahanku sameeyo waa in uu u soo diro xadhig gaar ah iyada oo loo marayo habka ku qoraya xadhigan faylka log sidaas darteedna ay maamusho maktabadda Log4j.
Tan waxaa lagu samayn karaa codsiyo HTTP fudud, tusaale ahaan, kuwa lagu soo diro foomamka shabakada, goobaha xogta, iwm., ama nooc kasta oo kale oo is dhexgalka la isticmaalayo diiwaanka dhinaca server-ka.
- Nooca 2.15.0 ma xallin arrin kale, CVE-2021-45046, kaas oo u oggolaaday weeraryahan fog inuu xakameeyo Khariidadda Context Map (MDC) si uu u diyaariyo gelitaanka xaasidnimo isagoo isticmaalaya qaabka raadinta JNDI. Natiijadu waxay noqon kartaa fulinta koodka fog, nasiib wanaag ma aha dhammaan deegaannada.
- Nooca 2.16.0 ayaa hagaajiyay dhibaatadan. Laakiin ma hagaajin CVE-2021-45105, kaas oo Apache Software Foundation uu ku qeexay sida soo socota:
"Noocyada Apache Log2.0j1 2.16.0-alpha4 ilaa 2 kama aysan ilaalin ku celcelinta aan la xakameyn ee raadinta is-xakamaynta. Marka qaabaynta diiwaanku adeegsato qaab qaabaysan oo ka duwan kan caadiga ah oo leh xog-ururin (tusaale, $$ {ctx: loginId}), weeraryahannada maamula xogta galinta Thread Context Map (MDC) waxay abuuri karaan xogta login . , kaas oo soo saara StackOverflowError kaas oo soo afjari doona habka. Tan waxa kale oo loo yaqaan diidmada adeegga (DOS).
Barnaamijka abaal-marinta cayayaanka ee madax-bannaan ee iibiyaha, Hal-abuurka Zero Day, ayaa ku tilmaamay cilladda sida soo socota:
"Marka doorsoomayaal buul leh lagu beddelo fasalka StrSubstitutor, waxay si isdaba joog ah u wacdaa fasalka beddelka (). Si kastaba ha ahaatee, marka doorsoomaha buulku uu tixraaco doorsoomiyaha la bedelayo, soo noqnoqoshada waxaa loogu yeeraa isla xadhig isku mid ah. Tani waxay keenaysaa soo noqnoqoshada aan dhamaadka lahayn iyo xaalad DoS ee serverka ".
Meel kale oo muhiim ah oo meel marinta koodka fulinta ah ayaa hadda loo raad raacaa sidii CVE-2021-44832 waxaa laga helay isla maktabadda Log4j Apache. Tani waa nuglaanta afaraad ee maktabadda Log4j.
Lagu qiimeeyay "dhex dhexaad" oo darran leh oo leh 6,6 marka loo eego cabbirka CVSS, baylahdu waxay ka timid la'aanta kontaroolada dheeraadka ah ee gelitaanka JDNI ee log4j.
Kooxda amniga Apache ayaa siidaayay nooc kale oo Apache Log4J ah (nooca 2.17.1) kaas oo hagaajiya cayayaanka fulinta code fog ee dhawaan la helay CVE-2021-44832. Tani waa xaalad kale oo xun inta badan isticmaalayaasha laakiin mar labaad waxaa aad loogu talinayaa in la cusboonaysiiyo nidaamkaaga si loo hagaajiyo arrintan muhiimka ah.
Ma jirto hay'ad federaal ah oo Maraykan ah oo la jabiyay nuglaanshaha jirta awgeed, ayuu Jen Easterly u sheegay warfidiyeenka isagoo taleefoon kula hadlay. Intaa waxaa dheer, ma jiraan weeraro waaweyn oo dhanka internetka ah oo la xidhiidha cayayaanka oo laga soo sheegay Maraykanka, in kasta oo weeraro badan aan la soo sheegin, ayuu yidhi.
Easterly wuxuu yiri baaxadda baylahda, saameynaya tobanaan milyan oo aaladaha ku xiran internetka, taasoo ka dhigaysa tii ugu xumayd ee uu abid ku arkay xirfadiisa. Weeraryahannada ayaa laga yaabaa inay waqtigooda qaataan, ayuu yidhi, iyagoo sugaya shirkadaha iyo kuwa kale inay hoos u dhigaan difaacooda ka hor intaysan weerarin.
"Waxaan rajeyneynaa in Log4Shell loo isticmaali doono faragelinta mustaqbalka," Easterly ayaa yiri. Waxa uu xusay in jebinta xogta Equifax ee 2017, taas oo wax u dhimaysa macluumaadka shakhsiyeed ee ku dhawaad 150 milyan oo Maraykan ah, ay sabab u tahay nuglaanta software il furan.
Ilaa hadda, inta badan isku dayga in laga faa'iidaysto cayayaanka ayaa diiradda saaray macdanta cryptocurrency heerka hoose ama isku dayga lagu soo jiito qalabka galay botnets, ayuu yidhi.
source: https://www.cnet.com
Waxaa sabab u ah injineernimada xad dhaafka ah. Qayb kastaa waa inay hal shay oo keliya samayso oo si fiican u qabataa. Laakiin horumariyayaashu waxay leeyihiin caado xun oo ah inay dhejiyaan lakabyo iyo lakabyo badan iyo hawlo aan loo baahnayn, taas oo aan ka dhigin mid aad u adag oo u nugul fashilka noocan ah ... waxaan idhi ...