ភាពងាយរងគ្រោះមួយទៀតនៅក្នុង Log4j 2. បញ្ហានៅក្នុង Log4j ប៉ះពាល់ដល់ 8% នៃកញ្ចប់ Maven

ភាពងាយរងគ្រោះមួយទៀតត្រូវបានគេកំណត់អត្តសញ្ញាណនៅក្នុងបណ្ណាល័យ Log4j 2 (CVE-2021-45105) ដែលខុសពីបញ្ហាទាំងពីរមុននេះត្រូវបានចាត់ថ្នាក់ថាមានគ្រោះថ្នាក់ ប៉ុន្តែមិនធ្ងន់ធ្ងរទេ។ បញ្ហាថ្មីអនុញ្ញាតឱ្យអ្នកបង្កឱ្យមានការបដិសេធនៃសេវាកម្ម ហើយបង្ហាញរាងវានៅក្នុងទម្រង់នៃរង្វិលជុំ និងគាំងនៅពេលដំណើរការបន្ទាត់ជាក់លាក់។ ភាពងាយរងគ្រោះត្រូវបានជួសជុលនៅក្នុងការចេញផ្សាយ Log4j 2.17 ដែលបានចេញផ្សាយកាលពីប៉ុន្មានម៉ោងមុន។ គ្រោះថ្នាក់នៃភាពងាយរងគ្រោះត្រូវបានកាត់បន្ថយដោយការពិតដែលថាបញ្ហាលេចឡើងនៅលើប្រព័ន្ធដែលមាន Java 8 ប៉ុណ្ណោះ។

ភាពងាយរងគ្រោះប៉ះពាល់ដល់ប្រព័ន្ធដែលប្រើសំណួរតាមបរិបទ (ការរកមើលបរិបទ) ដូចជា ${ctx:var} ដើម្បីកំណត់ទម្រង់លទ្ធផលនៃកំណត់ហេតុ។ កំណែ Log4j ពី 2.0-alpha1 ដល់ 2.16.0 ខ្វះការការពារប្រឆាំងនឹងការហៅឡើងវិញដែលមិនអាចគ្រប់គ្រងបាន ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហាររៀបចំតម្លៃដែលបានប្រើក្នុងការជំនួសដើម្បីបង្កឱ្យមានរង្វិលជុំ ដែលនាំឱ្យអស់ទំហំជង់ និងការគាំង។ ជាពិសេសបញ្ហាបានកើតឡើងនៅពេលជំនួសតម្លៃដូចជា "${${::-${::-$${::-j}}}} ។

លើសពីនេះ វាអាចត្រូវបានកត់សម្គាល់ថា អ្នកស្រាវជ្រាវមកពី Blumira បានស្នើជម្រើសមួយដើម្បីវាយប្រហារកម្មវិធី Java ដែលងាយរងគ្រោះដែលមិនទទួលយកសំណើបណ្តាញខាងក្រៅ ឧទាហរណ៍ ប្រព័ន្ធរបស់អ្នកអភិវឌ្ឍន៍ ឬអ្នកប្រើប្រាស់កម្មវិធី Java អាចត្រូវបានវាយប្រហារតាមរបៀបនេះ។ ខ្លឹមសារនៃវិធីសាស្រ្តគឺថាប្រសិនបើមានដំណើរការ Java ដែលងាយរងគ្រោះនៅលើប្រព័ន្ធរបស់អ្នកប្រើដែលទទួលយកការតភ្ជាប់បណ្តាញតែពីម៉ាស៊ីនក្នុងស្រុក ឬដំណើរការសំណើ RMI (Remote Method Invocation, port 1099) ការវាយប្រហារអាចត្រូវបានអនុវត្តដោយកូដ JavaScript ។ នៅពេលអ្នកប្រើប្រាស់បើកទំព័រព្យាបាទនៅក្នុងកម្មវិធីរុករករបស់ពួកគេ។ ដើម្បីបង្កើតការតភ្ជាប់ទៅច្រកបណ្តាញនៃកម្មវិធី Java កំឡុងពេលការវាយប្រហារនោះ WebSocket API ត្រូវបានប្រើ ដែលខុសពីសំណើ HTTP ការរឹតបន្តឹងប្រភពដើមដូចគ្នាមិនត្រូវបានអនុវត្តទេ (WebSocket ក៏អាចប្រើដើម្បីស្កេនច្រកបណ្តាញនៅលើមូលដ្ឋាន host ដើម្បីកំណត់ឧបករណ៍ដោះស្រាយបណ្តាញដែលមាន) ។

ការចាប់អារម្មណ៍ផងដែរគឺលទ្ធផលដែលបានបោះពុម្ពផ្សាយដោយ Google នៃការវាយតម្លៃភាពងាយរងគ្រោះនៃបណ្ណាល័យដែលទាក់ទងនឹងភាពអាស្រ័យ Log4j ។ យោងតាម ​​Google បញ្ហានេះប៉ះពាល់ដល់ 8% នៃកញ្ចប់ទាំងអស់នៅក្នុងឃ្លាំង Maven Central ។ ជាពិសេស កញ្ចប់ Java 35863 ដែលភ្ជាប់ជាមួយ Log4j តាមរយៈភាពអាស្រ័យដោយផ្ទាល់ និងដោយប្រយោលត្រូវបានប៉ះពាល់ទៅនឹងភាពងាយរងគ្រោះ។ ក្នុងពេលជាមួយគ្នានេះ Log4j ត្រូវបានប្រើជាការពឹងផ្អែកកម្រិតទីមួយដោយផ្ទាល់តែក្នុង 17% នៃករណី ហើយក្នុង 83% នៃកញ្ចប់ដែលរងផលប៉ះពាល់ ការចងត្រូវបានអនុវត្តតាមរយៈកញ្ចប់កម្រិតមធ្យមដែលអាស្រ័យលើ Log4j ពោលគឺឧ។ ការញៀនកម្រិតទីពីរនិងខ្ពស់ជាង (21% - កម្រិតទីពីរ 12% - ទីបី 14% - ទីបួន 26% - ទីប្រាំ 6% - ទីប្រាំមួយ) ។ ល្បឿននៃការជួសជុលភាពងាយរងគ្រោះនៅតែទុកឱ្យមានការចង់បាន មួយសប្តាហ៍បន្ទាប់ពីភាពងាយរងគ្រោះត្រូវបានរកឃើញ ក្នុងចំណោមកញ្ចប់ដែលកំណត់អត្តសញ្ញាណចំនួន 35863 បញ្ហាត្រូវបានជួសជុលរហូតមកដល់ពេលនេះត្រឹមតែ 4620 ប៉ុណ្ណោះពោលគឺឧ។ នៅ 13% ។

ទន្ទឹមនឹងនេះ ទីភ្នាក់ងារការពារសន្តិសុខអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធរបស់សហរដ្ឋអាមេរិកបានចេញសេចក្តីណែនាំបន្ទាន់មួយដែលតម្រូវឱ្យទីភ្នាក់ងារសហព័ន្ធកំណត់អត្តសញ្ញាណប្រព័ន្ធព័ត៌មានដែលរងផលប៉ះពាល់ដោយភាពងាយរងគ្រោះ Log4j និងដំឡើងបច្ចុប្បន្នភាពដែលរារាំងបញ្ហានេះត្រឹមថ្ងៃទី 23 ខែធ្នូ។ ត្រឹមថ្ងៃទី 28 ខែធ្នូ អង្គការនានាត្រូវរាយការណ៍អំពីការងាររបស់ពួកគេ។ ដើម្បីងាយស្រួលក្នុងការកំណត់អត្តសញ្ញាណប្រព័ន្ធដែលមានបញ្ហា បញ្ជីផលិតផលដែលត្រូវបានបញ្ជាក់ថាបង្ហាញភាពងាយរងគ្រោះត្រូវបានរៀបចំ (បញ្ជីរួមមានកម្មវិធីជាង 23 ពាន់)។

ប្រភព: opennet.ru