Chaidh so-leòntachd eile a chomharrachadh ann an leabharlann Log4j 2 (CVE-2021-45105), a tha, eu-coltach ris an dà dhuilgheadas roimhe, air a chomharrachadh mar chunnartach, ach chan eil e èiginneach. Leigidh an iris ùr leat seirbheis a dhiùltadh agus bidh e ga nochdadh fhèin ann an cruth lùban agus tubaistean nuair a bhios tu a’ giullachd loidhnichean sònraichte. Chaidh an so-leòntachd a shuidheachadh anns an naidheachd Log4j 2.17 a chaidh fhoillseachadh beagan uairean a thìde air ais. Tha cunnart an so-leòntachd air a lasachadh leis gu bheil an duilgheadas a’ nochdadh dìreach air siostaman le Java 8.
Tha an so-leòntachd a’ toirt buaidh air siostaman a chleachdas ceistean co-theacsa (Context Lookup), leithid ${ctx:var}, gus cruth toraidh an loga a dhearbhadh. Cha robh dìon aig dreachan Log4j bho 2.0-alpha1 gu 2.16.0 an-aghaidh ath-chuairteachadh neo-riaghlaichte, a leig le neach-ionnsaigh an luach a chaidh a chleachdadh san ionadachadh a làimhseachadh gus lùb adhbhrachadh, a’ leantainn gu sgìths ann an àite cruachan agus tubaist. Gu sònraichte, thachair an duilgheadas nuair a chaidh luachan leithid "${${::-${::-$${::-j}}}} a chur nan àite.
A bharrachd air an sin, faodar a thoirt fa-near gu bheil luchd-rannsachaidh à Blumira air roghainn a mholadh gus ionnsaigh a thoirt air tagraidhean Java so-leònte nach eil a’ gabhail ri iarrtasan lìonra bhon taobh a-muigh; mar eisimpleir, faodar ionnsaigh a thoirt air siostaman luchd-leasachaidh no luchd-cleachdaidh thagraidhean Java san dòigh seo. Is e brìgh an dòigh ma tha pròiseasan Java so-leònte air siostam an neach-cleachdaidh a bhios a’ gabhail ri ceanglaichean lìonra a-mhàin bhon òstair ionadail, no a’ pròiseasadh iarrtasan RMI (Invocation Dòigh Iomallach, port 1099), faodar an ionnsaigh a dhèanamh le còd JavaScript air a chuir gu bàs. nuair a dh’fhosglas luchd-cleachdaidh duilleag droch-rùnach sa bhrobhsair aca. Gus ceangal a stèidheachadh ri port lìonra tagradh Java rè leithid de dh’ ionnsaigh, thathas a’ cleachdadh an WebSocket API, ris nach eil cuingealachaidhean den aon thùs air an cur an sàs, eu-coltach ri iarrtasan HTTP (faodar WebSocket a chleachdadh cuideachd gus puirt lìonra a sganadh air an lìonra ionadail. òstair gus luchd-làimhseachaidh lìonra a tha rim faighinn a dhearbhadh).
Cuideachd inntinneach tha na toraidhean a chaidh fhoillseachadh le Google mu bhith a’ measadh so-leòntachd leabharlannan co-cheangailte ri eisimeileachd Log4j. A rèir Google, tha an duilgheadas a’ toirt buaidh air 8% de na pacaidean uile ann an stòr Maven Central. Gu sònraichte, bha 35863 pasganan Java co-cheangailte ri Log4j tro eisimeileachd dìreach agus neo-dhìreach fosgailte do chugallachd. Aig an aon àm, tha Log4j air a chleachdadh mar eisimeileachd dìreach aig a’ chiad ìre a-mhàin ann an 17% de chùisean, agus ann an 83% de phasganan air a bheil buaidh, thèid an ceangal a dhèanamh tro phasganan eadar-mheadhanach a tha an urra ri Log4j, i.e. tràilleachd an dàrna ìre agus nas àirde (21% - dàrna ìre, 12% - treas, 14% - ceathramh, 26% - còigeamh, 6% - siathamh). Tha astar an so-leòntachd fhathast a’ fàgail mòran ri bhith air a mhiannachadh; seachdain às deidh an so-leòntachd a chomharrachadh, a-mach à 35863 pasgan comharraichte, chaidh an duilgheadas a rèiteach gu ruige seo ann an dìreach 4620, i.e. aig 13%.
Aig an aon àm, chuir Buidheann Dìon Cybersecurity agus Bun-structair na SA a-mach stiùireadh èiginn ag iarraidh air buidhnean feadarail siostaman fiosrachaidh a chomharrachadh air an tug so-leòntachd Log4j buaidh agus ùrachaidhean a chuir a-steach a chuireas casg air an duilgheadas ro 23 Dùbhlachd. Ro 28 Dùbhlachd, feumaidh buidhnean aithris a thoirt air an obair aca. Gus comharrachadh siostaman trioblaideach a dhèanamh nas sìmplidhe, chaidh liosta de thoraidhean a chaidh a dhearbhadh gus so-leòntachd ullachadh (tha an liosta a ’toirt a-steach còrr air 23 mìle tagradh).
Source: fosgailtenet.ru