Log4j 2 кітапханасында (CVE-2021-45105) тағы бір осалдық анықталды, ол алдыңғы екі мәселеден айырмашылығы қауіпті деп жіктеледі, бірақ маңызды емес. Жаңа мәселе сізге қызмет көрсетуден бас тартуға мүмкіндік береді және белгілі бір жолдарды өңдеу кезінде ілмектер мен бұзылулар түрінде көрінеді. Осалдық бірнеше сағат бұрын шығарылған Log4j 2.17 шығарылымында түзетілді. Мәселе тек Java 8 жүйесі бар жүйелерде пайда болатындығы осалдықтың қаупін азайтады.
Осалдық журнал шығыс пішімін анықтау үшін ${ctx:var} сияқты мәтінмәндік сұрауларды (контекстік іздеу) пайдаланатын жүйелерге әсер етеді. 4-alpha2.0-ден 1-ге дейінгі Log2.16.0j нұсқаларында бақыланбайтын рекурсиядан қорғаныс жоқ, бұл шабуылдаушыға циклды тудыратын ауыстыру кезінде пайдаланылған мәнді басқаруға мүмкіндік берді, бұл стек кеңістігінің таусылуына және апатқа әкеледі. Атап айтқанда, мәселе "${${::-${::-$${::-j}}}}" сияқты мәндерді ауыстыру кезінде орын алды.
Сонымен қатар, Blumira зерттеушілері сыртқы желілік сұрауларды қабылдамайтын осал Java қолданбаларына шабуыл жасау опциясын ұсынғанын атап өтуге болады, мысалы, әзірлеушілер мен Java қолданбаларын пайдаланушылардың жүйелеріне осылайша шабуыл жасалуы мүмкін. Әдістің мәні мынада: егер пайдаланушы жүйесінде желілік қосылымдарды тек жергілікті хосттан қабылдайтын немесе RMI сұрауларын өңдейтін осал Java процестері болса (Remote Method Invocation, порт 1099), шабуыл орындалған JavaScript коды арқылы жүзеге асырылуы мүмкін. пайдаланушылар браузерінде зиянды бетті ашқанда. Осындай шабуыл кезінде Java қолданбасының желілік портына қосылым орнату үшін HTTP сұрауларынан айырмашылығы, бір шығу тегі шектеулері қолданылмаған WebSocket API пайдаланылады (WebSocket жергілікті желі порттарын сканерлеу үшін де пайдаланылуы мүмкін. қол жетімді желі өңдеушілерін анықтау үшін хост).
Сондай-ақ, Google жариялаған Log4j тәуелділіктерімен байланысты кітапханалардың осалдығын бағалау нәтижелері қызығушылық тудырады. Google мәліметтері бойынша, мәселе Maven Орталық репозиторийіндегі барлық пакеттердің 8% әсер етеді. Атап айтқанда, тікелей және жанама тәуелділіктер арқылы Log35863j-мен байланыстырылған 4 4 Java пакеті осалдықтарға ұшырады. Сонымен қатар, Log17j тікелей бірінші деңгейлі тәуелділік ретінде 83% жағдайда ғана пайдаланылады, ал зардап шеккен пакеттердің 4% -ында байланыстыру Log21j-ге тәуелді аралық пакеттер арқылы жүзеге асырылады, яғни. екінші және одан жоғары деңгейдегі тәуелділіктер (12% - екінші деңгей, 14% - үшінші, 26% - төртінші, 6% - бесінші, 35863% - алтыншы). Осалдықты түзету қарқыны әлі де көп қажет етеді; осалдық анықталғаннан кейін бір аптадан кейін анықталған 4620 13 пакеттің ішінде мәселе осы уақытқа дейін тек XNUMX XNUMX-де ғана түзетілді, яғни. XNUMX% деңгейінде.
Сонымен бірге, АҚШ-тың Киберқауіпсіздік және инфрақұрылымды қорғау агенттігі федералды агенттіктерден Log4j осалдығынан зардап шеккен ақпараттық жүйелерді анықтауды және 23 желтоқсанға дейін мәселені блоктайтын жаңартуларды орнатуды талап ететін төтенше жағдай туралы нұсқау шығарды. 28 желтоқсанға дейін ұйымдар өз жұмысы туралы есеп беруге міндетті. Проблемалық жүйелерді анықтауды жеңілдету үшін осалдықтарды көрсетуі расталған өнімдердің тізімі дайындалды (тізімде 23 мыңнан астам қосымшалар бар).
Ақпарат көзі: opennet.ru