ຊ່ອງ​ໂຫວ່ zero-day ຂອງ log4j ທີ່ຖືກປ່ອຍອອກມາຫລ້າສຸດນັ້ນ ໄດ້ເລີ່ມສົ່ງຜົນກະທົບເປັນກວ້າງ ເນື່ອງ​ຈາກ​ເປັນ​ໄລ​ບ​ຣາ​ຣີ (library) ​ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ໃນ​ພາສາ Java ແລະ ​ເປັນ​ຊ່ອງ​ໂຫວ່​ຮ້າຍແຮງ​ ເຮັດໃຫ້​ຜູ້​ພັດທະນາ​ໂຄງ​ການ​ຫຼາຍ​ຢ່າງ​ທີ່​ໃຊ້ Java ຕ້ອງ​ວາງ​ແຜນ​ໃນ​ການ​ອອກ​ອັບເກຣດຊອບແວ ເພື່ອແກ້ໄຂບັນຫານີ້ໃຫ້​ໄວ​ທີ່ສຸດ.

     ຫລ້າສຸດ Elastic ຜູ້​ພັດທະນາຊອບແວ Elastic Stack ທີ່​ນິຍົມ​ໃຊ້​ໃນການ​ມໍ​ນິ​ເຕີ ​ໄດ້​ອອກ​ປະ​ກາ​ດລາຍ​ລະອຽດ​ຜົນ​ກະທົບ​ຂອງ​ຜະລິດຕະພັນ​ແລ້ວ ພ້ອມ​ຄຳ​ແນະ​ນຳ​ໃນ​ການ​ລຸດຜ່ອນ​ຊ່ອງ​ໂຫວ່​ລະຫວ່າງ​ລໍຖ້າການແພັດ (Patch) ໂດຍ​ຫຼັງ​ຈາກ​ກວດ​ສອບ​ແລ້ວ​ພົບວ່າ​ ຜະລິດຕະພັນ ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຄື Elasticsearch, Logstash ແລະ APM Java Agent ມີ​ລາຍ​ລະອຽດ​ດັ່ງ​ນີ້:

     ສຳລັບ Elasticsearch ໃນ​ລາຍ​ງານ​ລະ​ບຸ​ວ່າ ​ກະທົບ​ຕັ້ງ​ແຕ່ເວີຊັ່ນ 5.0.0 ຂື້ນ​ໄປ ແຕ່​ເນື່ອງ​ຈາກ Elastic ໃຊ້​ລະບົບ Java Security Manager ຢູ່​ແລ້ວ ເຮັດໃຫ້​ໂອ​ກາດ​ໃນ​ການ​ຣັນ​ໂຄ້​ດ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ນີ້​ບໍ່​ງ່າຍ ຖື​ເປັນ​ການ​ລຸດຜ່ອນ​ຄວາມ​ຮ້າຍແຮງ​ຂອງ​ຊ່ອງ​ໂຫວ່​ນີ້​ໄປ​ໃນ​ຕົວ ແຕ່​ເພື່ອ​ປ້ອງ​ກັນ​ບັນຫາ Elastic ຈຶ່ງ​ແນະ​ນຳ ​ໃຫ້​ໃສ່ JVM Options -Dlog4j2.formatMsgNoLookups=true ໄວ້​ກ່ອນ ​ລະຫວ່າງລໍຖ້າອັບເດດ ຊຶ່ງທາງ Elastic ລະ​ບຸ​ວ່າ ​ຈະ​ອອກ Elasticsearch ເວີຊັ່ນ 6.8.21 ແລະ 7.16.1 ເພື່ອ​ແກ້​ບັນຫາ​ໃນໄວໆນີ້.

     ສ່ວນ Logstash ຖ້າ​ໃຊ້ເວີຊັ່ນ 6.8.x ແລະ 7.x ຫຼື ​ໃໝ່​ກວ່າ ເມື່ອ​ຄອນ​ຟິກ​ໃຫ້​ໃຊ້ JDK ທີ່​ຕ່ຳ​ກວ່າ 8u191 ແລະ 11.0.1 ຈະ​ມີ​ຄວາມ​ສ່ຽງ​ສູງ​ ເພາະ​ເປີດ​ໃຫ້​ໂຫລດ class ຂອງ Java ຈາກ​ໄລ​ຍະ​ໄກ​ໄດ້ ແຕ່ Logstash ທີ່​ໃຊ້ JDK ເວີຊັ່ນ​ໃໝ່ ຈະ​ຫລຸດ​ຄວາມ​ສ່ຽງ​ຢູ່​ຈຸດ​ນີ້​ໄດ້ (ແຕ່​ກໍ​ຍັງມີ​ຄວາມ​ສ່ຽງ​ຢູ່ ​ຫາກ​ຖືກໂຈມຕີໂດຍ DoS) ສ່ວນ​ວິທີ​ແກ້​ບັນຫາ ເນື່ອງ​ຈາກ JVM Options -Dlog4j2.formatMsgNoLookups=true ໃຊ້​ບໍ່​ໄດ້ (ເພາະ Logstash ຕັ້ງຄ່າ log4j ໃຫ້​ບໍ່​ອ່ານ flag) ຈຶ່ງ​ຕ້ອງ​ລົບຄາສ JndiLookup ອອກຈາກ log4j2 core jar ແທນ ໂດຍ​ໃຊ້​ຄຳສັ່ງ​:
zip -q -d /logstash-core/lib/jars/log4j-core-2.*
org/apache/logging/log4j/core/lookup/JndiLookup.class

     ເບື້ອງ APM Java Agent ກະທົບ​ຕັ້ງ​ແຕ່​ເວີຊັ່ນ 1.17.0-1.28.0 ແລະ​ ອອກ​ອັບ​ເດດເວີຊັ່ນ 1.28.1 ເພື່ອ​ແກ້​ບັນຫາ​ແລ້ວ ໂດຍ Elastic ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ອັບ​ເກຣດ​ໄປ​ເປັນ​ເວີຊັ່ນ​ຖັດ​ໄປ ແຕ່​ຖ້າ​ຍັງ​ບໍ່​ສາມາດ​ອັບ​ເກຣດ​ໄດ້ ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້ຫລຸດຜ່ອນ​ດ້ວຍ​ການ​ໃສ່ -Dlog4j2.formatMsgNoLookups=true ໄປ​ກ່ອນ​ໄດ້ ຊຶ່ງ​ຊ່ອງ​ໂຫວ່​ນີ້​ ຈະ​ກະທົບ​ສະເພາະ​ເມື່ອ​ກຳນົດ log_level=trace ແລະ ​ໃຊ້​ແບບ​ເປັນ PLAIN_TEXT ເທົ່າ​ນັ້ນ.

ລາຍ​ລະອຽດ​ກ່ຽວກັບ​ຜະລິດຕະພັນ​ອື່ນໆ

• Elastic Cloud, Elastic Cloud Enterprise ແລະ Swiftype ຈາກ​ການ​ກວດ​ສອບ​ເບື້ອງ​ຕົ້ນ ​ຍັງ​ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ ແຕ່​ຈະ​ອັບ​ເດດ log4j ເປັນ​ເວີຊັ່ນ​ໃໝ່​ໃຫ້​ໄວ​ທີ່ສຸດ.
• Elastic Cloud on Kubernetes ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ໂດຍ​ກົງ ແຕ່​ Elasticsearch ທີ່​ຢູ່​ພາຍໃຕ້​ການ​ຈັດການ​ຂອງ ECK ຄວນ​ຕັ້ງ​ຄ່າ ​ເພື່ອ​ລຸດ​ຜົນ​ກະທົບ​ຕາມ​ທີ່​ລະ​ບຸ​ໄວ້​ຂ້າງ​ຕົ້ນ.
• APM Server, Beats, Cmd, Elastic Endgame, Elastic Map Service, Endpoint Security, Enterprise Search, Kibana ແລະ Machine Learning ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ.

ການອັບ​ເດດເພີ່ມເຕີມ Elastic  ລະ​ບຸ​ວ່າ ແນະ​ນຳໃຫ້ຕິດຕາມໄດ້ຜ່ານຊ່ອງທາງ Security Announcement.

ເອກະສານອ້າງອີງ:

1. https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
2. https://www.blognone.com/node/126276