Дагы бир алсыздык Log4j 2 китепканасында (CVE-2021-45105) аныкталган, ал мурунку эки көйгөйдөн айырмаланып, кооптуу, бирок критикалык эмес деп классификацияланган. Жаңы чыгарылыш сизге кызмат көрсөтүүдөн баш тартууга мүмкүндүк берет жана белгилүү сызыктарды иштетүүдө циклдер жана кыйроолор түрүндө көрүнөт. Алсыздык бир нече саат мурун чыгарылган Log4j 2.17 релизинде оңдолду. Алсыздыктын коркунучу көйгөй Java 8 тутумунда гана пайда болгондугу менен азайтылат.
Абал журналдын чыгуу форматын аныктоо үчүн ${ctx:var} сыяктуу контексттик сурамдарды (Контексттик издөө) колдонгон системаларга таасирин тийгизет. Log4j версияларынын 2.0-alpha1ден 2.16.0го чейинки версияларында көзөмөлсүз рекурсиядан коргоо жок болчу, бул чабуулчуга алмаштырууда колдонулган маанини манипуляциялоого мүмкүндүк берип, циклди пайда кылып, стек мейкиндигинин түгөнүп калышына жана кыйроого алып келди. Атап айтканда, маселе "${${::-${::-$${::-j}}}}" сыяктуу маанилерди алмаштырууда пайда болду.
Кошумчалай кетсек, Blumira изилдөөчүлөрү тышкы тармактык суроо-талаптарды кабыл албаган аялуу Java тиркемелерине чабуул коюу вариантын сунушташкандыгын белгилей кетүү керек; мисалы, Java тиркемелерин иштеп чыгуучулардын же колдонуучулардын тутумдарына ушундай жол менен чабуул жасалышы мүмкүн. Методдун маңызы, эгерде колдонуучунун системасында локалдык хосттон гана тармактык байланыштарды кабыл алган, же RMI сурамдарын (Remote Method Invocation, порт 1099) иштеткен аялуу Java процесстери бар болсо, чабуул JavaScript коду менен аткарылышы мүмкүн. колдонуучулар браузерде зыяндуу баракты ачканда. Мындай чабуул учурунда Java тиркемесинин тармак портуна туташууну орнотуу үчүн WebSocket API колдонулат, ага HTTP сурамдарынан айырмаланып, бир эле келип чыккан чектөөлөр колдонулбайт (WebSocket жергиликтүү тармактагы тармак портторун сканерлөө үчүн да колдонулушу мүмкүн. жеткиликтүү тармак иштеткичтерин аныктоо үчүн хост).
Log4j көз карандылыктары менен байланышкан китепканалардын аялуулугун баалоо боюнча Google тарабынан жарыяланган жыйынтыктар да кызыктуу. Google маалыматы боюнча, көйгөй Maven Борбордук репозиторийиндеги бардык пакеттердин 8% таасирин тийгизет. Атап айтканда, түз жана кыйыр көз карандылык аркылуу Log35863j менен байланышкан 4 4 Java пакеттери аялуу жерлерге дуушар болгон. Ошол эле учурда Log17j түз биринчи деңгээлдеги көз карандылык катары 83% учурларда гана колдонулат, ал эми жабыр тарткан пакеттердин 4%ында байланыштыруу Log21jге көз каранды болгон аралык пакеттер аркылуу ишке ашырылат, б.а. экинчи жана андан жогорку деңгээлдеги көз карандылыктар (12% - экинчи деңгээл, 14% - үчүнчү, 26% - төртүнчү, 6% - бешинчи, 35863% - алтынчы). Алсыздыкты оңдоонун темпи дагы эле көп нерсени каалап жатат; аялуу аныкталгандан бир жума өткөндөн кийин, аныкталган 4620 пакеттин ичинен көйгөй ушул убакка чейин 13да гана чечилген, б.а. XNUMX% боюнча.
Ошол эле учурда, АКШнын Киберкоопсуздук жана инфраструктураны коргоо агенттиги федералдык агенттиктерден Log4j алсыздыгынан жабыркаган маалыматтык системаларды аныктоону жана 23-декабрга чейин көйгөйдү бөгөттөөчү жаңыртууларды орнотууну талап кылган шашылыш директиваны чыгарды. 28-декабрга чейин уюмдар аткарган иштери боюнча отчет берүүгө милдеттүү. Көйгөйлүү системаларды идентификациялоону жөнөкөйлөтүү үчүн аялуу жактары бар экендиги тастыкталган продукциялардын тизмеси түзүлдү (тизмеге 23 миңден ашык өтүнмөлөр кирет).
Source: opennet.ru