Ang laing kahuyangan giila sa Log4j 2 library (CVE-2021-45105), nga, dili sama sa miaging duha ka mga problema, giklasipikar nga delikado, apan dili kritikal. Ang bag-ong isyu nagtugot kanimo nga magpahinabog pagdumili sa serbisyo ug magpakita sa kaugalingon sa porma sa mga galong ug pagkahagsa sa pagproseso sa pipila ka mga linya. Ang pagkahuyang naayo sa Log4j 2.17 nga pagpagawas nga gipagawas pipila ka oras ang milabay. Ang kapeligrohan sa pagkahuyang gipagaan sa kamatuoran nga ang problema makita lamang sa mga sistema nga adunay Java 8.
Ang pagkahuyang makaapekto sa mga sistema nga naggamit sa mga pangutana sa konteksto (Pagpangita sa Konteksto), sama sa ${ctx:var}, aron mahibal-an ang format sa output sa log. Ang mga bersyon sa Log4j gikan sa 2.0-alpha1 hangtod sa 2.16.0 kulang sa proteksyon batok sa dili makontrol nga pagbalik-balik, nga nagtugot sa usa ka tig-atake sa pagmaniobra sa kantidad nga gigamit sa pag-ilis aron mahimong hinungdan sa usa ka loop, nga mosangpot sa pagkahurot sa stack space ug pagkahagsa. Sa partikular, ang problema nahitabo sa dihang gipulihan ang mga kantidad sama sa "${${::-${::-$${::-j}}}}".
Dugang pa, matikdan nga ang mga tigdukiduki gikan sa Blumira misugyot og kapilian sa pag-atake sa mga mahuyang nga Java nga aplikasyon nga dili modawat sa eksternal nga mga hangyo sa network; pananglitan, ang mga sistema sa mga developers o tiggamit sa Java nga mga aplikasyon mahimong atakehon niining paagiha. Ang esensya sa pamaagi mao nga kung adunay mga huyang nga proseso sa Java sa sistema sa user nga modawat sa mga koneksyon sa network gikan lamang sa lokal nga host, o magproseso sa mga hangyo sa RMI (Remote Method Invocation, port 1099), ang pag-atake mahimong himuon pinaagi sa JavaScript code nga gipatuman. kung ang mga tiggamit magbukas sa usa ka malisyosong panid sa ilang browser. Aron ma-establisar ang koneksyon sa network port sa usa ka aplikasyon sa Java sa panahon sa ingon nga pag-atake, gigamit ang WebSocket API, diin, dili sama sa mga hangyo sa HTTP, ang parehas nga gigikanan nga mga pagdili wala magamit (Ang WebSocket mahimo usab nga magamit sa pag-scan sa mga pantalan sa network sa lokal host aron mahibal-an ang magamit nga mga tigdumala sa network).
Usab sa interes mao ang mga resulta nga gipatik sa Google sa pagtimbang-timbang sa kahuyang sa mga librarya nga nalangkit sa Log4j dependencies. Sumala sa Google, ang problema makaapekto sa 8% sa tanan nga mga pakete sa Maven Central repository. Sa partikular, ang 35863 nga Java nga mga pakete nga nakig-uban sa Log4j pinaagi sa direkta ug dili direkta nga mga dependency nahayag sa mga kahuyangan. Sa parehas nga oras, ang Log4j gigamit ingon usa ka direkta nga pagsalig sa una nga lebel lamang sa 17% sa mga kaso, ug sa 83% sa mga apektadong pakete, ang pagbugkos gihimo pinaagi sa mga intermediate nga pakete nga nagsalig sa Log4j, i.e. pagkaadik sa ikaduha ug mas taas nga lebel (21% - ikaduha nga lebel, 12% - ikatulo, 14% - ikaupat, 26% - ikalima, 6% - ikaunom). Ang dagan sa pag-ayo sa pagkahuyang nagbilin pa nga daghang gitinguha; usa ka semana pagkahuman nahibal-an ang pagkahuyang, gikan sa 35863 nga giila nga mga pakete, ang problema naayo hangtod karon sa 4620 ra, i.e. sa 13%.
Samtang, ang US Cybersecurity and Infrastructure Protection Agency nagpagula usa ka emergency nga direktiba nga nanginahanglan sa mga ahensya sa federal nga mahibal-an ang mga sistema sa impormasyon nga apektado sa kahuyangan sa Log4j ug mag-install sa mga update nga nagbabag sa problema sa Disyembre 23. Sa Disyembre 28, ang mga organisasyon kinahanglan nga magreport sa ilang trabaho. Aron mapasimple ang pag-ila sa mga problema nga sistema, usa ka lista sa mga produkto nga nakumpirma nga nagpakita sa mga kahuyangan giandam (ang lista naglakip sa labaw sa 23 ka libo nga mga aplikasyon).
Source: opennet.ru