Di pirtûkxaneya Log4j 2 (CVE-2021-45105) de qelsiyek din hate nas kirin, ku, berevajî du pirsgirêkên berê, wekî xeternak, lê ne krîtîk tê dabeş kirin. Pirsgirêka nû dihêle hûn bibin sedema redkirina karûbarê û dema ku hin rêzikan hildiweşîne xwe di forma lûk û şikestinan de diyar dike. Zelalbûn di serbestberdana Log4j 2.17 de ku çend demjimêr berê hatî berdan hate rast kirin. Xetereya qelsbûnê ji ber vê yekê kêm dibe ku pirsgirêk tenê li ser pergalên bi Java 8 xuya dibe.
Qelsî bandorê li pergalên ku pirsên çarçove (Context Lookup) bikar tînin, wek ${ctx:var} dike, da ku forma derketina têketinê diyar bike. Guhertoyên Log4j ji 2.0-alpha1 heta 2.16.0 nebûna parastinê li hember vegerandina bêkontrol, ya ku hişt ku êrîşkar nirxa ku di veguheztinê de hatî bikar anîn manîpule bike da ku bibe sedema xelekek, ku bibe sedema westandina cîhê stakê û têkçûn. Bi taybetî, pirsgirêk dema ku nirxên wekî "${${::-${::-$${::-j}}}} veguherînin, çêbû.
Wekî din, meriv dikare were zanîn ku lêkolînerên ji Blumira vebijarkek pêşniyar kirine ku êrîşî ser sepanên Java yên xedar ên ku daxwazên torê yên derveyî qebûl nakin, bikin; mînakî, pergalên pêşdebiran an bikarhênerên serîlêdanên Java-yê bi vî rengî dikarin werin êrîş kirin. Esasê rêbazê ev e ku heke li ser pergala bikarhêner pêvajoyên Java-yê yên xedar hebin ku girêdanên torê tenê ji mêvandarê herêmî qebûl dikin, an daxwazên RMI-yê pêvajoyê dikin (Invocation Rêbaza Dûr, port 1099), êrîş dikare bi koda JavaScript-ê ve hatî darve kirin. dema ku bikarhêner di geroka xwe de rûpelek xirab vedikin. Ji bo ku di dema êrîşek weha de pêwendiyek bi porta torê ya serîlêdanek Java-yê re were saz kirin, WebSocket API tê bikar anîn, ku berevajî daxwazên HTTP-ê, tixûbên heman eslê nayên sepandin (WebSocket di heman demê de dikare were bikar anîn da ku portên torê yên li ser herêmî bişopîne. mêvandar ji bo destnîşankirina rêvebirên torê yên berdest).
Di heman demê de balkêş encamên ku ji hêla Google ve hatine weşandin ji bo nirxandina qelsiya pirtûkxaneyên ku bi girêdanên Log4j ve girêdayî ne. Li gorî Google, pirsgirêk li 8% ji hemî pakêtên di depoya Maven Central de bandor dike. Bi taybetî, 35863 pakêtên Java yên ku bi Log4j-ê ve girêdayî bi girêdanên rasterast û nerasterast ve girêdayî ne, ji qelsiyan re derketin. Di heman demê de, Log4j tenê di 17% bûyeran de wekî girêdanek rasterast a asta yekem tê bikar anîn, û di 83% ji pakêtên bandorkirî de, girêdan bi navgîniya pakêtên navîn ên ku bi Log4j ve girêdayî ne, tête bikar anîn, ango. narkotîkên asta duyemîn û bilindtir (21% - asta duyemîn, 12% - sêyemîn, 14% - çaremîn, 26% - pêncemîn, 6% - şeşemîn). Leza rastkirina qelsiyê hîna jî gelek tiştan dihêle; hefteyek piştî ku qelsî hate nas kirin, ji 35863 pakêtên naskirî, pirsgirêk heya niha tenê di 4620 de, ango. li 13%.
Di vê navberê de, Ajansa Ewlehiya Sîber û Parastina Binesaziyê ya Dewletên Yekbûyî rêwerzek acîl derxist ku ji ajansên federal hewce dike ku pergalên agahdariyê yên ku ji qelsiya Log4j bandor bûne nas bikin û nûvekirinên ku pirsgirêkê asteng dikin heya 23ê Kanûnê saz bikin. Di 28ê Kanûnê de, divê rêxistin li ser xebata xwe rapor bikin. Ji bo hêsankirina nasnameya pergalên pirsgirêk, navnîşek hilberên ku hatine piştrast kirin ku qelsiyan nîşan didin (lîste ji 23 hezarî zêdetir serlêdanan vedihewîne) hatiye amadekirin.
Source: opennet.ru