Log4j 2 ಲೈಬ್ರರಿಯಲ್ಲಿ (CVE-2021-45105) ಮತ್ತೊಂದು ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಹಿಂದಿನ ಎರಡು ಸಮಸ್ಯೆಗಳಿಗಿಂತ ಭಿನ್ನವಾಗಿ ಅಪಾಯಕಾರಿ ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ, ಆದರೆ ನಿರ್ಣಾಯಕವಲ್ಲ. ಹೊಸ ಸಂಚಿಕೆಯು ಸೇವೆಯ ನಿರಾಕರಣೆಯನ್ನು ಉಂಟುಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಮತ್ತು ಕೆಲವು ಸಾಲುಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಲೂಪ್ಗಳು ಮತ್ತು ಕ್ರ್ಯಾಶ್ಗಳ ರೂಪದಲ್ಲಿ ಸ್ವತಃ ಪ್ರಕಟವಾಗುತ್ತದೆ. ಕೆಲವು ಗಂಟೆಗಳ ಹಿಂದೆ ಬಿಡುಗಡೆಯಾದ Log4j 2.17 ಬಿಡುಗಡೆಯಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ. ಜಾವಾ 8 ರೊಂದಿಗಿನ ಸಿಸ್ಟಂಗಳಲ್ಲಿ ಮಾತ್ರ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ ಎಂಬ ಅಂಶದಿಂದ ದುರ್ಬಲತೆಯ ಅಪಾಯವನ್ನು ತಗ್ಗಿಸಲಾಗಿದೆ.
ಲಾಗ್ ಔಟ್ಪುಟ್ ಸ್ವರೂಪವನ್ನು ನಿರ್ಧರಿಸಲು ${ctx:var} ನಂತಹ ಸಂದರ್ಭೋಚಿತ ಪ್ರಶ್ನೆಗಳನ್ನು (ಸಂದರ್ಭ ಲುಕಪ್) ಬಳಸುವ ವ್ಯವಸ್ಥೆಗಳ ಮೇಲೆ ದುರ್ಬಲತೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. 4-alpha2.0 ರಿಂದ 1 ರವರೆಗಿನ Log2.16.0j ಆವೃತ್ತಿಗಳು ಅನಿಯಂತ್ರಿತ ಪುನರಾವರ್ತನೆಯ ವಿರುದ್ಧ ರಕ್ಷಣೆಯನ್ನು ಹೊಂದಿಲ್ಲ, ಇದು ಲೂಪ್ ಅನ್ನು ಉಂಟುಮಾಡಲು ಬದಲಿಯಲ್ಲಿ ಬಳಸಿದ ಮೌಲ್ಯವನ್ನು ಕುಶಲತೆಯಿಂದ ಆಕ್ರಮಣಕಾರರಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು, ಇದು ಸ್ಟಾಕ್ ಸ್ಪೇಸ್ ಮತ್ತು ಕುಸಿತಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, "${${::-${::-$${::-j}}}}" ನಂತಹ ಮೌಲ್ಯಗಳನ್ನು ಬದಲಿಸುವಾಗ ಸಮಸ್ಯೆ ಸಂಭವಿಸಿದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಬ್ಲುಮಿರಾದಿಂದ ಸಂಶೋಧಕರು ಬಾಹ್ಯ ನೆಟ್ವರ್ಕ್ ವಿನಂತಿಗಳನ್ನು ಸ್ವೀಕರಿಸದ ದುರ್ಬಲ ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡುವ ಆಯ್ಕೆಯನ್ನು ಪ್ರಸ್ತಾಪಿಸಿದ್ದಾರೆ ಎಂದು ಗಮನಿಸಬಹುದು; ಉದಾಹರಣೆಗೆ, ಡೆವಲಪರ್ಗಳ ಸಿಸ್ಟಮ್ಗಳು ಅಥವಾ ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಬಳಕೆದಾರರ ಮೇಲೆ ಈ ರೀತಿ ದಾಳಿ ಮಾಡಬಹುದು. ವಿಧಾನದ ಮೂಲತತ್ವವೆಂದರೆ, ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ನಿಂದ ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಅಥವಾ RMI ವಿನಂತಿಗಳನ್ನು (ರಿಮೋಟ್ ಮೆಥಡ್ ಇನ್ವೊಕೇಶನ್, ಪೋರ್ಟ್ 1099) ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ಬಳಕೆದಾರರ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ದುರ್ಬಲವಾದ ಜಾವಾ ಪ್ರಕ್ರಿಯೆಗಳಿದ್ದರೆ, ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ ಮೂಲಕ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು. ಬಳಕೆದಾರರು ತಮ್ಮ ಬ್ರೌಸರ್ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಪುಟವನ್ನು ತೆರೆದಾಗ. ಅಂತಹ ದಾಳಿಯ ಸಮಯದಲ್ಲಿ ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್ನ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ಗೆ ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಲು, ವೆಬ್ಸಾಕೆಟ್ API ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದಕ್ಕೆ, HTTP ವಿನಂತಿಗಳಂತೆ, ಒಂದೇ-ಮೂಲದ ನಿರ್ಬಂಧಗಳನ್ನು ಅನ್ವಯಿಸಲಾಗುವುದಿಲ್ಲ (ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ವೆಬ್ಸಾಕೆಟ್ ಅನ್ನು ಸಹ ಬಳಸಬಹುದು. ಲಭ್ಯವಿರುವ ನೆಟ್ವರ್ಕ್ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ನಿರ್ಧರಿಸಲು ಹೋಸ್ಟ್).
Log4j ಅವಲಂಬನೆಗಳೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಲೈಬ್ರರಿಗಳ ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಣಯಿಸಲು Google ಪ್ರಕಟಿಸಿದ ಫಲಿತಾಂಶಗಳು ಆಸಕ್ತಿಕರವಾಗಿದೆ. ಗೂಗಲ್ ಪ್ರಕಾರ, ಸಮಸ್ಯೆಯು ಮಾವೆನ್ ಸೆಂಟ್ರಲ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿನ ಎಲ್ಲಾ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ 8% ರಷ್ಟು ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ನೇರ ಮತ್ತು ಪರೋಕ್ಷ ಅವಲಂಬನೆಗಳ ಮೂಲಕ Log35863j ನೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ 4 Java ಪ್ಯಾಕೇಜ್ಗಳು ದುರ್ಬಲತೆಗಳಿಗೆ ಒಡ್ಡಿಕೊಂಡಿವೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, Log4j ಅನ್ನು 17% ಪ್ರಕರಣಗಳಲ್ಲಿ ಮಾತ್ರ ನೇರ ಮೊದಲ ಹಂತದ ಅವಲಂಬನೆಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಮತ್ತು 83% ಪೀಡಿತ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ, Log4j ಅನ್ನು ಅವಲಂಬಿಸಿರುವ ಮಧ್ಯಂತರ ಪ್ಯಾಕೇಜ್ಗಳ ಮೂಲಕ ಬಂಧಿಸುವಿಕೆಯನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ, ಅಂದರೆ. ಎರಡನೇ ಮತ್ತು ಉನ್ನತ ಮಟ್ಟದ ವ್ಯಸನಗಳು (21% - ಎರಡನೇ ಹಂತ, 12% - ಮೂರನೇ, 14% - ನಾಲ್ಕನೇ, 26% - ಐದನೇ, 6% - ಆರನೇ). ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸುವ ವೇಗವು ಇನ್ನೂ ಅಪೇಕ್ಷಿತವಾಗಿರುವುದನ್ನು ಬಿಟ್ಟುಬಿಡುತ್ತದೆ; ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಿದ ಒಂದು ವಾರದ ನಂತರ, ಗುರುತಿಸಲಾದ 35863 ಪ್ಯಾಕೇಜುಗಳಲ್ಲಿ, ಸಮಸ್ಯೆಯನ್ನು ಇಲ್ಲಿಯವರೆಗೆ ಕೇವಲ 4620 ರಲ್ಲಿ ಪರಿಹರಿಸಲಾಗಿದೆ, ಅಂದರೆ. 13% ನಲ್ಲಿ
ಏತನ್ಮಧ್ಯೆ, ಯುಎಸ್ ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಮತ್ತು ಇನ್ಫ್ರಾಸ್ಟ್ರಕ್ಚರ್ ಪ್ರೊಟೆಕ್ಷನ್ ಏಜೆನ್ಸಿಯು ಫೆಡರಲ್ ಏಜೆನ್ಸಿಗಳು Log4j ದುರ್ಬಲತೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುವ ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಡಿಸೆಂಬರ್ 23 ರೊಳಗೆ ಸಮಸ್ಯೆಯನ್ನು ನಿರ್ಬಂಧಿಸುವ ನವೀಕರಣಗಳನ್ನು ಸ್ಥಾಪಿಸಲು ತುರ್ತು ನಿರ್ದೇಶನವನ್ನು ನೀಡಿತು. ಡಿಸೆಂಬರ್ 28 ರೊಳಗೆ, ಸಂಸ್ಥೆಗಳು ತಮ್ಮ ಕೆಲಸದ ಬಗ್ಗೆ ವರದಿ ಮಾಡಬೇಕಾಗುತ್ತದೆ. ಸಮಸ್ಯಾತ್ಮಕ ವ್ಯವಸ್ಥೆಗಳ ಗುರುತಿಸುವಿಕೆಯನ್ನು ಸರಳೀಕರಿಸಲು, ದುರ್ಬಲತೆಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ದೃಢೀಕರಿಸಿದ ಉತ್ಪನ್ನಗಳ ಪಟ್ಟಿಯನ್ನು ಸಿದ್ಧಪಡಿಸಲಾಗಿದೆ (ಪಟ್ಟಿಯು 23 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ).
ಮೂಲ: opennet.ru
