Una altra vulnerabilità hè stata identificata in a libreria Log4j 2 (CVE-2021-45105), chì, à u cuntrariu di i dui prublemi precedenti, hè classificatu cum'è periculosu, ma micca criticu. U novu prublema vi permette di pruvucà una denegazione di serviziu è si manifesta in forma di loops è crashes quandu si tratta di certe linee. A vulnerabilità hè stata riparata in u Log4j 2.17 liberatu uni pochi ore fà. U periculu di a vulnerabilità hè mitigatu da u fattu chì u prublema appare solu in sistemi cù Java 8.
A vulnerabilità affetta i sistemi chì utilizanu dumande contextuale (Context Lookup), cum'è ${ctx:var}, per determinà u formatu di output di log. E versioni di Log4j da 2.0-alpha1 à 2.16.0 ùn mancavanu di prutezzione contra a ricursione incontrollata, chì hà permessu à un attaccu di manipulà u valore utilizatu in a sustituzione per causà un loop, purtendu à l'esaurimentu di u spaziu di stack è un crash. In particulare, u prublema hè accadutu quandu si sustituì i valori cum'è "${${::-${::-$${::-j}}}}".
Inoltre, si pò nutà chì i ricercatori di Blumira anu prupostu una opzione per attaccà l'applicazioni Java vulnerabili chì ùn accettanu micca richieste di rete esterne; per esempiu, i sistemi di sviluppatori o l'utilizatori di l'applicazioni Java ponu esse attaccati in questu modu. L'essenza di u metudu hè chì s'ellu ci sò prucessi Java vulnerabili nantu à u sistema di l'utilizatori chì accettanu cunnessione di a rete solu da l'ospite lucale, o processanu e dumande RMI (Invocazione Remote Method, portu 1099), l'attaccu pò esse realizatu da codice JavaScript eseguitu. quandu l'utilizatori apre una pagina maliciosa in u so navigatore. Per stabilisce una cunnessione à u portu di a rete di una applicazione Java durante un tali attaccu, hè utilizatu l'API WebSocket, à quale, à u cuntrariu di e richieste HTTP, ùn sò micca applicate restrizioni di listessa origine (WebSocket pò ancu esse usatu per scansà i porti di rete nantu à u situ lucale). host per determinà i gestori di rete dispunibili).
Hè ancu d'interessu i risultati publicati da Google di evaluà a vulnerabilità di e biblioteche assuciate cù dependenzii di Log4j. Sicondu Google, u prublema afecta 8% di tutti i pacchetti in u repository Maven Central. In particulare, 35863 pacchetti Java assuciati cù Log4j per via di dipendenze dirette è indirette sò stati esposti à vulnerabili. À u listessu tempu, Log4j hè adupratu cum'è una dependenza diretta di primu livellu solu in u 17% di i casi, è in u 83% di i pacchetti affettati, u ligame hè realizatu per mezu di pacchetti intermedi chì dependenu di Log4j, i.e. addictions di u sicondu è più altu livellu (21% - secondu livellu, 12% - terzu, 14% - quartu, 26% - quintu, 6% - sestu). U ritmu di riparà a vulnerabilità lascia sempre assai per esse desideratu; una settimana dopu chì a vulnerabilità hè stata identificata, fora di 35863 pacchetti identificati, u prublema hè stata risolta finu à avà in solu 4620, i.e. à 13%.
Intantu, l'Agenzia di Proteczione di Cibersicurezza è Infrastruttura di i Stati Uniti hà publicatu una direttiva d'urgenza chì impone à l'agenzii federali di identificà i sistemi d'infurmazioni affettati da a vulnerabilità Log4j è installà l'aghjurnamenti chì bluccanu u prublema da u 23 di dicembre. À u 28 di dicembre, l'urganisazioni sò tenute à fà un rapportu nantu à u so travagliu. Per simplificà l'identificazione di sistemi problematici, hè stata preparata una lista di i prudutti chì sò stati cunfirmati per esibisce vulnerabilità (a lista include più di 23 mila applicazioni).
Source: opennet.ru