Log4j 2 teegis (CVE-2021-45105) on tuvastatud veel üks haavatavus, mis erinevalt kahest eelmisest probleemist on klassifitseeritud ohtlikuks, kuid mitte kriitiliseks. Uus väljaanne võimaldab teil tekitada teenuse keelamise ja avaldub teatud ridade töötlemisel silmuste ja krahhidena. Haavatavus parandati mõni tund tagasi välja antud Log4j 2.17 versioonis. Haavatavuse ohtu vähendab asjaolu, et probleem ilmneb ainult Java 8-ga süsteemides.
See haavatavus mõjutab süsteeme, mis kasutavad logi väljundvormingu määramiseks kontekstipõhist päringut (Context Lookup), näiteks ${ctx:var}. Log4j versioonidel 2.0-alpha1 kuni 2.16.0 puudus kaitse kontrollimatu rekursiooni eest, mis võimaldas ründajal asenduses kasutatud väärtusega manipuleerida, et tekitada silmus, mis viis virnaruumi ammendumise ja krahhini. Eelkõige ilmnes probleem selliste väärtuste asendamisel nagu "${${::-${::-$${::-j}}}}".
Lisaks võib märkida, et Blumira teadlased on pakkunud välja võimaluse rünnata haavatavaid Java rakendusi, mis ei võta vastu välisvõrgu päringuid, näiteks saab sellisel viisil rünnata Java rakenduste arendajate või kasutajate süsteeme. Meetodi olemus seisneb selles, et kui kasutaja süsteemis on haavatavaid Java protsesse, mis aktsepteerivad võrguühendusi ainult kohalikult hostilt või töötlevad RMI päringuid (Remote Method Invocation, port 1099), saab ründe läbi viia käivitatava JavaScripti koodiga. kui kasutajad avavad oma brauseris pahatahtliku lehe. Java-rakenduse võrgupordiga ühenduse loomiseks sellise rünnaku ajal kasutatakse WebSocket API-d, millele erinevalt HTTP päringutest sama päritolu piiranguid ei rakendata (WebSocketit saab kasutada ka kohaliku võrgu portide skannimiseks host, et teha kindlaks saadaolevad võrgutöötlejad).
Huvi pakuvad ka Google'i avaldatud tulemused Log4j-sõltuvustega seotud raamatukogude haavatavuse hindamise kohta. Google'i andmetel mõjutab probleem 8% kõigist Maven Centrali hoidlas olevatest pakettidest. Eelkõige puutus haavatavustesse 35863 4 Java-paketti, mis olid seotud Log4j-ga otseste ja kaudsete sõltuvuste kaudu. Samas kasutatakse Log17j otsese esmatasandi sõltuvusena vaid 83% juhtudest ja 4% mõjutatud pakettidest toimub sidumine Log21j-st sõltuvate vahepakettide kaudu, s.t. teise ja kõrgema taseme sõltuvused (12% - teine tase, 14% - kolmas, 26% - neljas, 6% - viies, 35863% - kuues). Haavatavuse parandamise tempo jätab endiselt soovida, nädal pärast haavatavuse tuvastamist on 4620 13 tuvastatud paketist probleem seni lahendatud vaid XNUMX puhul, s.o. XNUMX% juures.
Vahepeal andis USA küberjulgeoleku ja infrastruktuuri kaitse agentuur välja hädaolukorra direktiivi, mille kohaselt peavad föderaalasutused tuvastama Log4j haavatavusest mõjutatud infosüsteemid ja installima 23. detsembriks probleemi blokeerivad värskendused. 28. detsembriks on organisatsioonidel kohustus oma tööst aru anda. Probleemsete süsteemide tuvastamise lihtsustamiseks on koostatud nimekiri toodetest, millel on kinnitust leidnud haavatavused (nimekirjas on üle 23 tuhande rakenduse).
Allikas: opennet.ru