Annar varnarleysi hefur verið greindur í Log4j 2 bókasafninu (CVE-2021-45105), sem, ólíkt fyrri tveimur vandamálum, er flokkað sem hættulegt, en ekki mikilvægt. Nýja útgáfan gerir þér kleift að valda afneitun á þjónustu og lýsir sér í formi lykkjur og hrun við vinnslu á ákveðnum línum. Varnarleysið var lagað í Log4j 2.17 útgáfunni sem kom út fyrir nokkrum klukkustundum. Hættan á varnarleysinu er dregin úr þeirri staðreynd að vandamálið birtist aðeins á kerfum með Java 8.
Varnarleysið hefur áhrif á kerfi sem nota samhengisspurningar (Context Lookup), eins og ${ctx:var}, til að ákvarða úttakssniðið. Log4j útgáfur frá 2.0-alpha1 til 2.16.0 skorti vörn gegn stjórnlausu endurkomulagi, sem gerði árásarmanni kleift að hagræða gildinu sem notað var í skiptingunni til að valda lykkju, sem leiddi til tæmingar á staflaplássi og hruns. Einkum kom vandamálið upp þegar skipt var um gildi eins og „${${::-${::-$${::-j}}}}“.
Að auki má benda á að vísindamenn frá Blumira hafa lagt til möguleika á að ráðast á viðkvæm Java forrit sem taka ekki við beiðnum utanaðkomandi netkerfis; til dæmis er hægt að ráðast á kerfi þróunaraðila eða notenda Java forrita með þessum hætti. Kjarni aðferðarinnar er sá að ef það eru viðkvæm Java ferli á kerfi notandans sem samþykkja aðeins nettengingar frá staðbundnum hýsingaraðila, eða vinna úr RMI beiðnum (Remote Method Invocation, höfn 1099), er hægt að framkvæma árásina með því að keyra JavaScript kóða. þegar notendur opna skaðlega síðu í vafranum sínum. Til að koma á tengingu við netgátt Java forrits meðan á slíkri árás stendur er WebSocket API notað, ólíkt HTTP beiðnum, eru takmarkanir af sama uppruna ekki beittar (einnig er hægt að nota WebSocket til að skanna nettengi á staðnum hýsil til að ákvarða tiltæka netstjórnun).
Einnig áhugaverðar niðurstöður sem Google hefur gefið út um mat á varnarleysi bókasöfna sem tengjast Log4j ósjálfstæði. Samkvæmt Google hefur vandamálið áhrif á 8% allra pakka í Maven Central geymslunni. Sérstaklega voru 35863 Java pakkar tengdir Log4j í gegnum beina og óbeina ósjálfstæði fyrir varnarleysi. Á sama tíma er Log4j aðeins notað sem bein fyrsta stigs háð í 17% tilvika og í 83% af viðkomandi pakka fer bindingin fram í gegnum millipakka sem eru háðir Log4j, þ.e. fíkn á öðru og hærra stigi (21% - annað stig, 12% - þriðja, 14% - fjórða, 26% - fimmta, 6% - sjötta). Hraðinn við að laga veikleikann skilur enn eftir sig; viku eftir að varnarleysið var greint, af 35863 auðkenndum pökkum, hefur vandamálið verið lagað hingað til í aðeins 4620, þ.e. í 13%.
Á sama tíma gaf bandaríska netöryggis- og innviðaverndarstofnunin út neyðartilskipun sem krefst þess að alríkisstofnanir kenni upplýsingakerfi sem verða fyrir áhrifum af Log4j varnarleysinu og setji upp uppfærslur sem loka fyrir vandamálið fyrir 23. desember. Fyrir 28. desember er stofnunum skylt að gera grein fyrir starfi sínu. Til að einfalda auðkenningu á erfiðum kerfum hefur verið útbúinn listi yfir vörur sem staðfest hefur verið að sýna veikleika (listinn inniheldur meira en 23 þúsund umsóknir).
Heimild: opennet.ru