Toinen haavoittuvuus on tunnistettu Log4j 2 -kirjastossa (CVE-2021-45105), joka, toisin kuin kaksi edellistä ongelmaa, on luokiteltu vaaralliseksi, mutta ei kriittiseksi. Uusi ongelma mahdollistaa palveluneston aiheuttamisen, ja se ilmenee silmukoina ja kaatumisina tiettyjä rivejä käsiteltäessä. Haavoittuvuus korjattiin muutama tunti sitten julkaistussa Log4j 2.17 -julkaisussa. Haavoittuvuuden vaaraa lieventää se, että ongelma ilmenee vain Java 8 -järjestelmissä.
Haavoittuvuus vaikuttaa järjestelmiin, jotka käyttävät kontekstuaalisia kyselyitä (Context Lookup), kuten ${ctx:var}, määrittääkseen lokin tulostusmuodon. Log4j-versioista 2.0-alpha1 - 2.16.0 puuttui suojaus hallitsematonta rekursiota vastaan, mikä antoi hyökkääjälle mahdollisuuden manipuloida korvauksessa käytettyä arvoa ja aiheuttaa silmukan, mikä johti pinotilan loppumiseen ja kaatumiseen. Erityisesti ongelma ilmeni korvattaessa arvoja, kuten "${${::-${::-$${::-j}}}}".
Lisäksi voidaan todeta, että Blumiran tutkijat ovat ehdottaneet vaihtoehtoa hyökätä haavoittuviin Java-sovelluksiin, jotka eivät hyväksy ulkoisia verkkopyyntöjä, esimerkiksi Java-sovellusten kehittäjien tai käyttäjien järjestelmiä vastaan voidaan hyökätä tällä tavalla. Menetelmän ydin on, että jos käyttäjän järjestelmässä on haavoittuvia Java-prosesseja, jotka hyväksyvät verkkoyhteydet vain paikalliselta isännältä tai käsittelevät RMI-pyyntöjä (Remote Method Invocation, portti 1099), hyökkäys voidaan suorittaa JavaScript-koodilla. kun käyttäjät avaavat haitallisen sivun selaimessaan. Yhteyden muodostamiseen Java-sovelluksen verkkoporttiin tällaisen hyökkäyksen aikana käytetään WebSocket API:ta, johon, toisin kuin HTTP-pyyntöihin, ei sovelleta saman alkuperän rajoituksia (WebSocketilla voidaan myös tarkistaa verkkoportteja paikallisessa isäntä käytettävissä olevien verkkokäsittelijöiden määrittämiseksi).
Kiinnostavia ovat myös Googlen julkaisemat tulokset Log4j-riippuvuuksiin liittyvien kirjastojen haavoittuvuuden arvioinnista. Googlen mukaan ongelma koskee 8 prosenttia kaikista Maven Central -arkiston paketeista. Erityisesti 35863 4 Java-pakettia, jotka liittyvät Log4j:hen suorien ja epäsuorien riippuvuuksien kautta, altistuivat haavoittuvuuksille. Samaan aikaan Log17j:tä käytetään suorana ensimmäisen tason riippuvuutena vain 83 %:ssa tapauksista, ja 4 %:ssa vaikutuksen alaisista paketeista sidonta suoritetaan Log21j:stä riippuvien välipakettien kautta, ts. toisen ja korkeamman tason riippuvuudet (12% - toinen taso, 14% - kolmas, 26% - neljäs, 6% - viides, 35863% - kuudes). Haavoittuvuuden korjausvauhti jättää vielä toivomisen varaa, viikko haavoittuvuuden havaitsemisen jälkeen 4620 13 tunnistetusta paketista ongelma on toistaiseksi korjattu vain XNUMX XNUMX:ssa, ts. XNUMX prosentilla.
Samaan aikaan Yhdysvaltain kyberturvallisuus- ja infrastruktuurin suojavirasto antoi hätädirektiivin, jossa liittovaltion virastoja vaaditaan tunnistamaan Log4j-haavoittuvuuden aiheuttamat tietojärjestelmät ja asentamaan päivitykset, jotka estävät ongelman 23. joulukuuta mennessä. Organisaatioiden on raportoitava työstään 28. joulukuuta mennessä. Ongelmallisten järjestelmien tunnistamisen yksinkertaistamiseksi on laadittu luettelo tuotteista, joissa on vahvistettu haavoittuvuuksia (luettelo sisältää yli 23 tuhatta sovellusta).
Lähde: opennet.ru