Π•Ρ‰Ρ‘ ΠΎΠ΄Π½Π° ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² Log4j 2. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ Π² Log4j Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‚ 8% Maven-ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ²

Π’ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ΅ Log4j 2 выявлСна Π΅Ρ‰Ρ‘ ΠΎΠ΄Π½Π° ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2021-45105), которая Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ Π΄Π²ΡƒΡ… ΠΏΡ€ΠΎΡˆΠ»Ρ‹Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ, отнСсСна ΠΊ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ опасных, Π½ΠΎ Π½Π΅ критичСских. Новая ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° позволяСт Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ ΠΎΡ‚ΠΊΠ°Π· Π² обслуТивании ΠΈ проявляСтся Π² Π²ΠΈΠ΄Π΅ зацикливания ΠΈ Π°Π²Π°Ρ€ΠΈΠΉΠ½ΠΎΠ³ΠΎ Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Ρ… строк. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ устранСна Π² ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π½ΠΎΠΌ нСсколько часов Π½Π°Π·Π°Π΄ выпускС Log4j 2.17. ΠžΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ уязвимости сглаТиваСт Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π½Π° систСмах с Java 8.

Уязвимости ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹ систСмы, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΡ€ΠΈ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠΈ Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π° Π²Ρ‹Π²ΠΎΠ΄Π° Π² Π»ΠΎΠ³ контСкстныС запросы (Context Lookup), Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ ${ctx:var}. Π’ вСрсиях Log4j, начиная с 2.0-alpha1 ΠΈ заканчивая 2.16.0, отсутствовала Π·Π°Ρ‰ΠΈΡ‚Π° ΠΎΡ‚ Π½Π΅ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΠΎΠΉ рСкурсии, Ρ‡Ρ‚ΠΎ позволяло Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΌΡƒ Ρ‡Π΅Ρ€Π΅Π· манипуляции со Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ΠΌ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΌ ΠΏΡ€ΠΈ подстановкС, Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ Π·Π°Ρ†ΠΈΠΊΠ»ΠΈΠ²Π°Π½ΠΈΠ΅, приводящСС ΠΊ ΠΈΡΡ‡Π΅Ρ€ΠΏΠ°Π½ΠΈΡŽ мСста Π² стСкС ΠΈ Π°Π²Π°Ρ€ΠΈΠΉΠ½ΠΎΠΌΡƒ Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡŽ процСсса. Π’ частности, ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π²ΠΎΠ·Π½ΠΈΠΊΠ°Π»Π° ΠΏΡ€ΠΈ подстановкС Ρ‚Π°ΠΊΠΈΡ… Π·Π½Π°Ρ‡Π΅Π½ΠΈΠΉ, ΠΊΠ°ΠΊ «${${::-${::-$${::-j}}}}».

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ исслСдоватСли ΠΈΠ· ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Blumira ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠΈΠ»ΠΈ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ Π°Ρ‚Π°ΠΊΠΈ Π½Π° уязвимыС Java-прилоТСния, Π½Π΅ ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°ΡŽΡ‰ΠΈΠ΅ внСшниС сСтСвыС запросы, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΠΌΠΎΠΆΠ½ΠΎ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Ρ‚ΡŒ Ρ‚Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ систСмы Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² ΠΈΠ»ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Java-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Π‘ΡƒΡ‚ΡŒ ΠΌΠ΅Ρ‚ΠΎΠ΄Π° Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈ Π½Π°Π»ΠΈΡ‡ΠΈΠΈ Π½Π° систСмС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ уязвимых Java-процСссов, ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°ΡŽΡ‰ΠΈΡ… сСтСвыС соСдинСния Ρ‚ΠΎΠ»ΡŒΠΊΠΎ с локального хоста (localhost), ΠΈΠ»ΠΈ ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΡ… RMI-запросы (Remote Method Invocation, 1099 ΠΏΠΎΡ€Ρ‚), Π°Ρ‚Π°ΠΊΠ° ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π° JavaScript-ΠΊΠΎΠ΄ΠΎΠΌ, выполняСмым ΠΏΡ€ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΈΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π΅ врСдоносной страницы. Для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ соСдинСния с сСтСвым ΠΏΠΎΡ€Ρ‚ΠΎΠΌ Java-прилоТСния ΠΏΡ€ΠΈ ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎΠΉ Π°Ρ‚Π°ΠΊΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ API WebSocket, ΠΊ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌΡƒ Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ HTTP-запросов Π½Π΅ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚ΡΡ ограничСния same-origin (WebSocket Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ сканирования сСтСвых ΠΏΠΎΡ€Ρ‚ΠΎΠ² Π½Π° локальном хостС с Ρ†Π΅Π»ΡŒΡŽ опрСдСлСния ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΡ…ΡΡ сСтСвых ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ²).

Π•Ρ‰Ρ‘ ΠΎΠ΄Π½Π° ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² Log4j 2. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ Π² Log4j Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‚ 8% Maven-ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ²

Π’Π°ΠΊΠΆΠ΅ интСрСс прСдставляСт ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠ΅ΠΉ Google Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΠΎΡ†Π΅Π½ΠΊΠΈ уязвимости Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ, связанных зависимостями с Log4j. По Π΄Π°Π½Π½Ρ‹ΠΌ Google, ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ 8% ΠΎΡ‚ всСх ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ Maven Central. Π’ частности, уязвимости оказались ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹ 35863 Java-ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², связанных с Log4j прямыми ΠΈ косвСнными зависимостями. ΠŸΡ€ΠΈ этом Log4j ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Π² качСствС прямой зависимости ΠΏΠ΅Ρ€Π²ΠΎΠ³ΠΎ уровня Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π² 17% случаСв, Π° Π² 83% ΠΎΡ…Π²Π°Ρ‡Π΅Π½Π½Ρ‹Ρ… ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² привязка осущСствляСтся Ρ‡Π΅Ρ€Π΅Π· ΠΏΡ€ΠΎΠΌΠ΅ΠΆΡƒΡ‚ΠΎΡ‡Π½Ρ‹Π΅ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹, зависимыС ΠΎΡ‚ Log4j, Ρ‚.Π΅. зависимости Π²Ρ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΈ Π±ΠΎΠ»Π΅Π΅ высокого уровня (21% — Π²Ρ‚ΠΎΡ€ΠΎΠ³ΠΎ уровня, 12% — Ρ‚Ρ€Π΅Ρ‚ΡŒΠ΅Π³ΠΎ, 14% — Ρ‡Π΅Ρ‚Π²Ρ‘Ρ€Ρ‚ΠΎΠ³ΠΎ, 26% — пятого, 6% — ΡˆΠ΅ΡΡ‚ΠΎΠ³ΠΎ). Π’Π΅ΠΌΠΏΡ‹ исправлСния уязвимости ΠΏΠΎΠΊΠ° ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‚ ΠΆΠ΅Π»Π°Ρ‚ΡŒ Π»ΡƒΡ‡ΡˆΠ΅Π³ΠΎ, Ρ‡Π΅Ρ€Π΅Π· нСдСлю послС выявлСния уязвимости ΠΈΠ· 35863 выявлСнных ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° устранСна ΠΏΠΎΠΊΠ° Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π² 4620, Ρ‚.Π΅. Π² 13%.

Π•Ρ‰Ρ‘ ΠΎΠ΄Π½Π° ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² Log4j 2. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ Π² Log4j Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‚ 8% Maven-ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ²

Π’Π΅ΠΌ Π²Ρ€Π΅ΠΌΠ΅Π½Π΅ΠΌ, АгСнтство ΠΏΠΎ кибСрбСзопасности ΠΈ Π·Π°Ρ‰ΠΈΡ‚Π΅ инфраструктуры БША ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»ΠΎ ΡΠΊΡΡ‚Ρ€Π΅Π½Π½ΡƒΡŽ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΈΠ²Ρƒ, ΠΎΠ±ΡΠ·Ρ‹Π²Π°ΡŽΡ‰ΡƒΡŽ Ρ„Π΅Π΄Π΅Ρ€Π°Π»ΡŒΠ½Ρ‹Π΅ агСнтства произвСсти ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм, ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Π½Ρ‹Ρ… уязвимости Π² Log4j, ΠΈ Π΄ΠΎ 23 дСкабря произвСсти установку ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠΉ, Π±Π»ΠΎΠΊΠΈΡ€ΡƒΡŽΡ‰ΠΈΡ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡƒ. Π”ΠΎ 28 дСкабря организациям прСдписано ΠΎΡ‚Ρ‡ΠΈΡ‚Π°Ρ‚ΡŒΡΡ ΠΎ ΠΏΡ€ΠΎΠ΄Π΅Π»Π°Π½Π½ΠΎΠΉ Ρ€Π°Π±ΠΎΡ‚Π΅. Для упрощСния выявлСния ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½Ρ‹Ρ… систСм ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²Π»Π΅Π½ список ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ², Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π΅Π½ΠΎ проявлСниС уязвимости (Π² спискС Π±ΠΎΠ»Π΅Π΅ 23 тысяч ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ).

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru