Друга уязвимост в Log4j 2. Проблеми в Log4j засягат 8% от пакетите Maven

Друга уязвимост е идентифицирана в библиотеката Log4j 2 (CVE-2021-45105), която, за разлика от предишните два проблема, е класифицирана като опасна, но не и критична. Новият проблем ви позволява да предизвикате отказ на услуга и се проявява под формата на цикли и сривове при обработката на определени редове. Уязвимостта беше коригирана в версията Log4j 2.17, пусната преди няколко часа. Опасността от уязвимостта се смекчава от факта, че проблемът се появява само на системи с Java 8.

Уязвимостта засяга системи, които използват контекстни заявки (Context Lookup), като ${ctx:var}, за определяне на изходния формат на журнала. На версиите на Log4j от 2.0-alpha1 до 2.16.0 липсваше защита срещу неконтролирана рекурсия, което позволяваше на хакер да манипулира стойността, използвана при заместването, за да предизвика цикъл, водещ до изчерпване на пространството в стека и срив. По-специално, проблемът възникна при заместване на стойности като "${${::-${::-$${::-j}}}}".

Освен това може да се отбележи, че изследователи от Blumira са предложили опция за атака на уязвими Java приложения, които не приемат външни мрежови заявки; например системите на разработчиците или потребителите на Java приложения могат да бъдат атакувани по този начин. Същността на метода е, че ако има уязвими Java процеси в системата на потребителя, които приемат мрежови връзки само от локалния хост или обработват RMI заявки (Remote Method Invocation, port 1099), атаката може да бъде извършена от JavaScript код, изпълнен когато потребителите отворят злонамерена страница в своя браузър. За установяване на връзка с мрежовия порт на Java приложение по време на такава атака се използва WebSocket API, към който, за разлика от HTTP заявките, не се прилагат ограничения за същия произход (WebSocket може да се използва и за сканиране на мрежови портове на локалния хост, за да се определят наличните мрежови манипулатори).

Интерес представляват и резултатите, публикувани от Google за оценка на уязвимостта на библиотеките, свързани със зависимостите на Log4j. Според Google проблемът засяга 8% от всички пакети в централното хранилище на Maven. По-специално, 35863 4 Java пакета, свързани с Log4j чрез преки и косвени зависимости, бяха изложени на уязвимости. В същото време Log17j се използва като пряка зависимост от първо ниво само в 83% от случаите, а в 4% от засегнатите пакети обвързването се извършва чрез междинни пакети, които зависят от Log21j, т.е. зависимости от второ и по-високо ниво (12% - второ ниво, 14% - трето, 26% - четвърто, 6% - пето, 35863% - шесто). Скоростта на коригиране на уязвимостта все още оставя много да се желае; седмица след идентифицирането на уязвимостта, от 4620 13 идентифицирани пакета, проблемът е коригиран досега само в XNUMX XNUMX, т.е. на XNUMX%.

Междувременно Агенцията за киберсигурност и защита на инфраструктурата на САЩ издаде спешна директива, изискваща от федералните агенции да идентифицират информационните системи, засегнати от уязвимостта на Log4j, и да инсталират актуализации, които блокират проблема до 23 декември. До 28 декември организациите са длъжни да се отчитат за работата си. За да се опрости идентифицирането на проблемни системи, е изготвен списък с продукти, за които е потвърдено, че показват уязвимости (списъкът включва повече от 23 хиляди приложения).

Източник: opennet.ru