ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > በ Log4j ውስጥ ሌላ ተጋላጭነት 2. በ Log4j ውስጥ ያሉ ጉዳዮች 8% የ Maven ጥቅሎችን ይነካሉ.

በ Log4j ውስጥ ሌላ ተጋላጭነት 2. በ Log4j ውስጥ ያሉ ጉዳዮች 8% የ Maven ጥቅሎችን ይነካሉ.

ሌላ ተጋላጭነት በLog4j 2 ቤተ-መጽሐፍት (CVE-2021-45105) ውስጥ ተለይቷል፣ እሱም፣ ከቀደምት ሁለት ችግሮች በተለየ፣ እንደ አደገኛ፣ ነገር ግን ወሳኝ አይደለም። አዲሱ ጉዳይ የአገልግሎቱን ውድቅ ለማድረግ ያስችልዎታል እና የተወሰኑ መስመሮችን በሚሰራበት ጊዜ በ loops እና በብልሽት መልክ እራሱን ያሳያል። ተጋላጭነቱ ከጥቂት ሰዓታት በፊት በተለቀቀው Log4j 2.17 ልቀት ላይ ተስተካክሏል። የተጋላጭነት አደጋ የሚቀነሰው ችግሩ በJava 8 ላይ ባሉ ስርዓቶች ላይ ብቻ በመታየቱ ነው።

ተጋላጭነቱ የምዝግብ ማስታወሻ ውፅዓት ቅርጸቱን ለመወሰን እንደ ${ctx:var} ያሉ የአውድ መጠይቆችን (የአውድ ፍለጋን) የሚጠቀሙ ስርዓቶችን ይነካል። ከ4-alpha2.0 እስከ 1 ያሉት የLog2.16.0j ስሪቶች ከቁጥጥር ውጪ እንዳይሆኑ ጥበቃ የላቸውም፣ ይህም አንድ አጥቂ በተተኪው ውስጥ ጥቅም ላይ የዋለውን እሴት ተጠቅሞ ምልልስ እንዲፈጥር አስችሎታል፣ ይህም የተከማቸ ቦታ መሟጠጥ እና ብልሽት ያስከትላል። በተለይ ችግሩ የተከሰተው እንደ "${${::-${::-$${::-j}}}}" ያሉ እሴቶችን ሲተካ ነው።

በተጨማሪም የብሉሚራ ተመራማሪዎች የውጭ አውታረ መረብ ጥያቄዎችን የማይቀበሉ ተጋላጭ የጃቫ አፕሊኬሽኖችን ለማጥቃት አማራጭ ሀሳብ ማቅረባቸውን ሊታወቅ ይችላል፡ ለምሳሌ የጃቫ አፕሊኬሽኖች ገንቢዎች ወይም ተጠቃሚዎች በዚህ መንገድ ሊጠቁ ይችላሉ። የስልቱ ይዘት በተጠቃሚው ስርዓት ላይ የኔትወርክ ግንኙነቶችን ከአካባቢው አስተናጋጅ ብቻ የሚቀበል ወይም የ RMI ጥያቄዎችን (የርቀት ዘዴ ጥሪ፣ ወደብ 1099) የሚፈፀሙ ተጋላጭ የጃቫ ሂደቶች ካሉ ጥቃቱ በጃቫስክሪፕት ኮድ ሊፈፀም ይችላል። ተጠቃሚዎች በአሳሹ ውስጥ ተንኮል-አዘል ገጽ ሲከፍቱ። በእንደዚህ ዓይነት ጥቃት ጊዜ ከጃቫ መተግበሪያ የአውታረ መረብ ወደብ ጋር ግንኙነት ለመመስረት የዌብሶኬት ኤፒአይ ጥቅም ላይ ይውላል ፣ ለዚህም እንደ HTTP ጥያቄዎች በተቃራኒ ፣ ተመሳሳይ መነሻ ገደቦች አይተገበሩም (WebSocket በአካባቢው ያሉ የአውታረ መረብ ወደቦችን ለመፈተሽም ሊያገለግል ይችላል) የሚገኙትን የአውታረ መረብ ተቆጣጣሪዎች ለመወሰን አስተናጋጅ)።

በ Log4j ውስጥ ሌላ ተጋላጭነት 2. በ Log4j ውስጥ ያሉ ጉዳዮች 8% የ Maven ጥቅሎችን ይነካሉ.

ከLog4j ጥገኞች ጋር የተያያዙ የቤተ-መጻህፍትን ተጋላጭነት ለመገምገም በGoogle የታተመው ትኩረት የሚስብ ነው። እንደ ጎግል ዘገባ፣ ችግሩ በ Maven Central ማከማቻ ውስጥ ካሉት ሁሉም ፓኬጆች 8 በመቶውን ይጎዳል። በተለይም ከ Log35863j ጋር በቀጥታ እና በተዘዋዋሪ ጥገኞች የተገናኙ 4 የጃቫ ፓኬጆች ለአደጋ ተጋልጠዋል። በተመሳሳይ ጊዜ, Log4j በ 17% ከሚሆኑት ጉዳዮች ውስጥ እንደ ቀጥተኛ የመጀመሪያ ደረጃ ጥገኛነት ጥቅም ላይ ይውላል, እና በ 83% ከተጎዱት ፓኬጆች ውስጥ, ማሰር የሚከናወነው በ Log4j ላይ በሚመሰረቱ መካከለኛ ፓኬጆች ነው, ማለትም. የሁለተኛ እና ከፍተኛ ደረጃ ሱሶች (21% - ሁለተኛ ደረጃ, 12% - ሶስተኛ, 14% - አራተኛ, 26% - አምስተኛ, 6% - ስድስተኛ). የተጋላጭነቱን የመጠገን ፍጥነት አሁንም ብዙ የሚፈለገውን ይተዋል፤ ተጋላጭነቱ ከታወቀ ከአንድ ሳምንት በኋላ ከተለዩት 35863 ፓኬጆች ውስጥ ችግሩ እስካሁን በ4620 ብቻ ተስተካክሏል፣ ማለትም። በ 13%

በ Log4j ውስጥ ሌላ ተጋላጭነት 2. በ Log4j ውስጥ ያሉ ጉዳዮች 8% የ Maven ጥቅሎችን ይነካሉ.

ይህ በእንዲህ እንዳለ የዩኤስ የሳይበር ደህንነት እና መሠረተ ልማት ጥበቃ ኤጀንሲ የፌደራል ኤጀንሲዎች በLog4j ተጋላጭነት የተጎዱትን የመረጃ ሥርዓቶችን በመለየት ችግሩን የሚገቱ መረጃዎችን እስከ ዲሴምበር 23 ድረስ እንዲጭኑ የሚያስገድድ የአደጋ ጊዜ መመሪያ አውጥቷል። እስከ ዲሴምበር 28 ድረስ ድርጅቶች ስለ ሥራቸው ሪፖርት ማድረግ አለባቸው። የችግር ስርዓቶችን መለየት ቀላል ለማድረግ, ተጋላጭነትን ለማሳየት የተረጋገጡ ምርቶች ዝርዝር ተዘጋጅቷል (ዝርዝሩ ከ 23 ሺህ በላይ መተግበሪያዎችን ያካትታል).

ምንጭ: opennet.ru

አስተያየት ያክሉ