Aithníodh leochaileacht eile i leabharlann Log4j 2 (CVE-2021-45105), atá, murab ionann agus an dá fhadhb roimhe seo, rangaithe mar chontúirteach, ach nach bhfuil ríthábhachtach. Ligeann an tsaincheist nua duit seirbhís a dhiúltú agus léirítear é i bhfoirm lúb agus tuairteanna agus línte áirithe á bpróiseáil. Socraíodh an leochaileacht sa scaoileadh Log4j 2.17 a scaoileadh cúpla uair an chloig ó shin. Maolaítear an chontúirt maidir le leochaileacht toisc nach bhfeictear an fhadhb ach ar chórais le Java 8.
Bíonn tionchar ag an leochaileacht ar chórais a úsáideann ceisteanna comhthéacsúla (Context Lookup), mar ${ctx:var}, chun formáid aschuir an loga a chinneadh. Ní raibh cosaint ag leaganacha Log4j ó 2.0-alfa1 go 2.16.0 i gcoinne athchúrsála neamhrialaithe, rud a chuir ar chumas ionsaitheoir an luach a úsáidtear san ionadú a ionramháil chun lúb a chur faoi deara, rud a fhágann go n-ídíonn spás cruachta agus timpiste. Go háirithe, tharla an fhadhb agus luachanna ar nós "${${::-${::-$${::-j}}}} á chur in ionad luachanna ar nós.
Ina theannta sin, is féidir a thabhairt faoi deara go bhfuil rogha molta ag taighdeoirí ó Blumira ionsaí a dhéanamh ar fheidhmchláir leochaileacha Java nach nglacann le hiarratais líonra sheachtracha; mar shampla, is féidir ionsaí a dhéanamh ar chórais fhorbróirí nó úsáideoirí feidhmchláir Java ar an mbealach seo. Is é bunbhrí an mhodha ná má tá próisis Java leochaileacha ar chóras an úsáideora a ghlacann le naisc líonra ón ósta áitiúil amháin, nó a phróiseálann iarratais RMI (Invocation Remote Method, port 1099), is féidir an t-ionsaí a dhéanamh trí chód JavaScript a fhorghníomhú. nuair a osclaíonn úsáideoirí leathanach mailíseach ina mbrabhsálaí. Chun nasc a bhunú le calafort líonra feidhmchlár Java le linn ionsaí den sórt sin, úsáidtear an WebSocket API, agus murab ionann agus iarratais HTTP, ní chuirtear srianta ar an mbunús céanna i bhfeidhm (is féidir WebSocket a úsáid freisin chun calafoirt líonra a scanadh ar an logánta óstach chun láimhseálaithe líonra atá ar fáil a chinneadh).
Is díol spéise freisin na torthaí a d’fhoilsigh Google maidir le measúnú a dhéanamh ar leochaileacht leabharlann a bhaineann le spleáchais Log4j. De réir Google, bíonn tionchar ag an bhfadhb ar 8% de na pacáistí go léir i stór Maven Central. Go háirithe, bhí 35863 pacáiste Java bainteach le Log4j trí spleáchas díreach agus indíreach faoi lé leochaileachtaí. Ag an am céanna, ní úsáidtear Log4j mar spleáchas díreach ar an gcéad leibhéal ach amháin i 17% de na cásanna, agus i 83% de na pacáistí a ndéantar difear dóibh, déantar an ceangailteach trí phacáistí idirmheánacha a bhraitheann ar Log4j, i.e. andúile an dara leibhéal agus an leibhéal níos airde (21% - dara leibhéal, 12% - tríú, 14% - ceathrú, 26% - cúigiú, 6% - séú). Fágann an luas a bhaineann le socrú na leochaileachta go leor le bheith inmhianaithe go fóill; seachtain tar éis an leochaileacht a aithint, as 35863 pacáiste sainaitheanta, níl an fhadhb socraithe go dtí seo ach i 4620, i.e. ag 13%.
Idir an dá linn, d'eisigh Gníomhaireacht um Chosaint Cybersecurity agus Bonneagair na SA treoir éigeandála á cheangal ar ghníomhaireachtaí cónaidhme córais faisnéise a bhfuil tionchar ag leochaileacht Log4j orthu a aithint agus nuashonruithe a shuiteáil a chuireann bac ar an bhfadhb faoin 23 Nollaig. Faoin 28 Nollaig, ceanglaítear ar eagraíochtaí tuairisciú ar a gcuid oibre. Chun sainaithint córas fadhbach a shimpliú, ullmhaíodh liosta de na táirgí atá deimhnithe chun leochaileachtaí a thaispeáint (cuimsíonn an liosta níos mó ná 23 míle feidhmchlár).
Foinse: oscailtenet.ru