கடைசி நாட்களில் வலையில் Log4 இன் பாதிப்பு பற்றி நிறைய பேசப்படுகிறதுj இதில் பல்வேறு தாக்குதல் திசையன்கள் கண்டுபிடிக்கப்பட்டு, பாதிப்பைச் சுரண்டுவதற்காக பல்வேறு செயல்பாட்டுச் சுரண்டல்களும் வடிகட்டப்பட்டுள்ளன.
விஷயத்தின் தீவிரம் என்னவென்றால், இது ஜாவா பயன்பாடுகளில் பதிவேட்டை ஒழுங்கமைப்பதற்கான ஒரு பிரபலமான கட்டமைப்பாகும்., இது "{jndi: URL}" வடிவத்தில் பதிவேட்டில் சிறப்பாக வடிவமைக்கப்பட்ட மதிப்பு எழுதப்படும் போது தன்னிச்சையான குறியீட்டை செயல்படுத்த அனுமதிக்கிறது. வெளிப்புற மூலங்களிலிருந்து பெறப்பட்ட மதிப்புகளை பதிவு செய்யும் ஜாவா பயன்பாடுகளில் தாக்குதல் நடத்தப்படலாம், எடுத்துக்காட்டாக பிழை செய்திகளில் சிக்கல் மதிப்புகளைக் காண்பிப்பதன் மூலம்.
அதுதான் தாக்குபவர் ஒரு இலக்கு அமைப்பில் HTTP கோரிக்கையை வைக்கிறார், இது Log4j 2 ஐப் பயன்படுத்தி ஒரு பதிவை உருவாக்குகிறது தாக்குபவர்-கட்டுப்படுத்தப்பட்ட தளத்திற்கு கோரிக்கை வைக்க JNDIஐப் பயன்படுத்துகிறது. பாதிப்பு பின்னர் சுரண்டப்பட்ட செயல்முறையை தளத்திற்கு வந்து பேலோடைச் செயல்படுத்துகிறது. பல கவனிக்கப்பட்ட தாக்குதல்களில், தாக்குபவர்களுக்கு சொந்தமான அளவுரு DNS பதிவு அமைப்பாகும், இது பாதிக்கப்படக்கூடிய அமைப்புகளை அடையாளம் காண தளத்தில் கோரிக்கையை பதிவு செய்யும் நோக்கம் கொண்டது.
எங்கள் சகா ஐசக் ஏற்கனவே பகிர்ந்து கொண்டது போல்:
Log4j இன் இந்த பாதிப்பு LDAP க்கு தவறான உள்ளீடு சரிபார்ப்பை பயன்படுத்த அனுமதிக்கிறது. தொலை குறியீடு செயல்படுத்தல் (RCE), மற்றும் சேவையகத்தை சமரசம் செய்தல் (ரகசியம், தரவு ஒருமைப்பாடு மற்றும் கணினி கிடைக்கும் தன்மை). கூடுதலாக, இந்த பாதிப்பின் சிக்கல் அல்லது முக்கியத்துவம், வணிக மென்பொருள் மற்றும் Apple iCloud, Steam போன்ற கிளவுட் சேவைகள் அல்லது Minecraft: Java Edition, Twitter, Cloudflare போன்ற பிரபலமான வீடியோ கேம்கள் உட்பட, அதைப் பயன்படுத்தும் பயன்பாடுகள் மற்றும் சேவையகங்களின் எண்ணிக்கையில் உள்ளது. Tencent , ElasticSearch, Redis, Elastic Logstash, மற்றும் ஒரு நீண்ட போன்றவை.
இதுகுறித்து சமீபத்தில் பேசுகையில் அப்பாச்சி மென்பொருள் அறக்கட்டளை வெளியிடப்பட்டது மூலம் ஒரு இடுகை Log4j 2 இல் உள்ள முக்கியமான பாதிப்பை நிவர்த்தி செய்யும் திட்டங்களின் சுருக்கம் இது சர்வரில் தன்னிச்சையான குறியீட்டை இயக்க அனுமதிக்கிறது.
பின்வரும் Apache திட்டங்கள் பாதிக்கப்பட்டுள்ளன: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl மற்றும் Calcite Avatica. GitHub.com, GitHub Enterprise Cloud மற்றும் GitHub Enterprise Server உள்ளிட்ட GitHub தயாரிப்புகளையும் இந்த பாதிப்பு பாதித்தது.
சமீபத்திய நாட்களில் குறிப்பிடத்தக்க அதிகரிப்பு உள்ளது பாதிப்பை சுரண்டுவது தொடர்பான செயல்பாடு. உதாரணத்திற்கு, செக் பாயிண்ட் அதன் கற்பனையான சர்வர்களில் நிமிடத்திற்கு 100 சுரண்டல் முயற்சிகளை பதிவு செய்துள்ளது. அதன் உச்சம், மற்றும் Sophos ஒரு புதிய கிரிப்டோகரன்சி மைனிங் பாட்நெட்டின் கண்டுபிடிப்பை அறிவித்தது, இது Log4j 2 இல் இணைக்கப்படாத பாதிப்புடன் கூடிய அமைப்புகளிலிருந்து உருவானது.
பிரச்சனை குறித்து வெளியாகியுள்ள தகவல்கள் குறித்து:
- couchbase, elasticsearch, flink, solr, Storm images போன்ற பல அதிகாரப்பூர்வ Docker படங்களில் பாதிப்பு உறுதி செய்யப்பட்டுள்ளது.
- மோங்கோடிபி அட்லஸ் தேடல் தயாரிப்பில் பாதிப்பு உள்ளது.
- சிஸ்கோ வெபெக்ஸ் மீட்டிங்ஸ் சர்வர், சிஸ்கோ சிஎக்ஸ் கிளவுட் ஏஜென்ட், சிஸ்கோ உள்ளிட்ட பல்வேறு சிஸ்கோ தயாரிப்புகளில் சிக்கல் தோன்றுகிறது.
- மேம்பட்ட வலை பாதுகாப்பு அறிக்கை, சிஸ்கோ ஃபயர்பவர் த்ரெட் டிஃபென்ஸ் (எஃப்டிடி), சிஸ்கோ அடையாள சேவைகள் இயந்திரம் (ஐஎஸ்இ), சிஸ்கோ கிளவுட் சென்டர், சிஸ்கோ டிஎன்ஏ மையம், சிஸ்கோ. பிராட்வொர்க்ஸ், முதலியன
- IBM WebSphere பயன்பாட்டு சேவையகம் மற்றும் பின்வரும் Red Hat தயாரிப்புகளில் சிக்கல் உள்ளது: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse மற்றும் AMQ ஸ்ட்ரீம்கள்.
- ஜூனோஸ் ஸ்பேஸ் நெட்வொர்க் மேனேஜ்மென்ட் பிளாட்ஃபார்ம், நார்த்ஸ்டார் கன்ட்ரோலர் / பிளானர், பாராகான் இன்சைட்ஸ் / பாத்ஃபைண்டர் / பிளானர் ஆகியவற்றில் உறுதிப்படுத்தப்பட்ட சிக்கல்.
- ஆரக்கிள், விஎம்வேர், பிராட்காம் மற்றும் அமேசான் ஆகியவற்றின் பல தயாரிப்புகளும் பாதிக்கப்பட்டுள்ளன.
Log4j 2 பாதிப்பால் பாதிக்கப்படாத அப்பாச்சி திட்டங்கள்: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper மற்றும் CloudStack.
சிக்கல் வாய்ந்த தொகுப்புகளைப் பயன்படுத்துபவர்கள், வெளியிடப்பட்ட புதுப்பிப்புகளை அவசரமாக நிறுவுமாறு அறிவுறுத்தப்படுகிறார்கள் அவர்களுக்கு, தனித்தனியாக Log4j 2 பதிப்பைப் புதுப்பிக்கவும் அல்லது Log4j2.formatMsgNoLookups அளவுருவை true என அமைக்கவும் (எடுத்துக்காட்டாக, தொடக்கத்தில் "-DLog4j2.formatMsgNoLookup = True" விசையைச் சேர்ப்பது).
நேரடி அணுகல் இல்லாத கணினியைப் பூட்டுவதற்கு, Logout4Shell தடுப்பூசியைப் பயன்படுத்த பரிந்துரைக்கப்பட்டது, இது ஒரு தாக்குதலின் மூலம், "log4j2.formatMsgNoLookups = true", "com.sun.jndi" என்ற ஜாவா அமைப்பை வெளிப்படுத்துகிறது. .rmi.object. TrustURLCodebase = தவறான "மற்றும்" com.sun.jndi.cosnaming.object.trustURLCodebase = தவறான "கட்டுப்பாடற்ற கணினிகளில் பாதிப்பின் மேலும் வெளிப்பாடுகளைத் தடுக்க.