Další zranitelnost byla identifikována v knihovně Log4j 2 (CVE-2021-45105), která je na rozdíl od předchozích dvou problémů klasifikována jako nebezpečná, ale není kritická. Nový problém umožňuje způsobit odmítnutí služby a projevuje se ve formě smyček a pádů při zpracování určitých řádků. Tato chyba zabezpečení byla opravena ve vydání Log4j 2.17 vydaném před několika hodinami. Nebezpečí zranitelnosti je zmírněno skutečností, že problém se objevuje pouze na systémech s Java 8.
Tato chyba zabezpečení se týká systémů, které k určení výstupního formátu protokolu používají kontextové dotazy (Context Lookup), jako je ${ctx:var}. Verze Log4j od 2.0-alpha1 do 2.16.0 postrádaly ochranu proti nekontrolované rekurzi, což útočníkovi umožňovalo manipulovat s hodnotou použitou při substituci tak, aby způsobila smyčku, což vedlo k vyčerpání místa zásobníku a havárii. Problém nastal zejména při dosazování hodnot „${${::-${::-$${::-j}}}}“.
Navíc lze poznamenat, že výzkumníci z Blumira navrhli možnost napadnout zranitelné Java aplikace, které nepřijímají externí síťové požadavky, například systémy vývojářů nebo uživatelů Java aplikací mohou být napadeny tímto způsobem. Podstatou metody je, že pokud jsou v systému uživatele zranitelné Java procesy, které přijímají síťová připojení pouze z místního hostitele, nebo zpracovávají požadavky RMI (Remote Method Invocation, port 1099), lze útok provést pomocí kódu JavaScript. když uživatelé otevřou ve svém prohlížeči škodlivou stránku. Pro navázání spojení se síťovým portem Java aplikace při takovém útoku se používá WebSocket API, na které se na rozdíl od HTTP požadavků nevztahují omezení stejného původu (WebSocket lze použít i ke skenování síťových portů na lokálním hostitele, aby bylo možné určit dostupné síťové obslužné programy).
Zajímavé jsou také výsledky zveřejněné společností Google týkající se hodnocení zranitelnosti knihoven spojených se závislostmi Log4j. Podle Googlu se problém týká 8 % všech balíčků v úložišti Maven Central. Zejména 35863 4 balíčků Java spojených s Log4j prostřednictvím přímých a nepřímých závislostí bylo vystaveno zranitelnostem. Log17j je přitom jako přímá závislost první úrovně použit pouze v 83 % případů a v 4 % postižených balíčků se vazba provádí prostřednictvím mezibalíčků, které jsou na Log21j závislé, tzn. závislostí druhého a vyššího stupně (12 % - druhý stupeň, 14 % - třetí, 26 % - čtvrtý, 6 % - pátý, 35863 % - šestý). Tempo opravy zranitelnosti je stále ještě hodně žádoucí; týden po identifikaci zranitelnosti byl problém z 4620 13 identifikovaných balíčků zatím opraven pouze u XNUMX XNUMX, tj. na XNUMX %.
Mezitím americká Agentura pro kybernetickou bezpečnost a ochranu infrastruktury vydala nouzovou směrnici, která vyžaduje, aby federální agentury identifikovaly informační systémy postižené zranitelností Log4j a nainstalovaly aktualizace, které problém zablokují do 23. prosince. Do 28. prosince jsou organizace povinny podat zprávu o své práci. Pro zjednodušení identifikace problematických systémů byl připraven seznam produktů, u kterých byla potvrzena zranitelnost (seznam obsahuje více než 23 tisíc aplikací).
Zdroj: opennet.ru