Alia vulnerabilitas in bibliotheca Log4i 2 (CVE-2021-45105) notata est, quae, dissimilis duobus prioribus quaestionibus, periculosa est, sed non critica. Novus exitus permittit ut negationem servitii faciat et se manifestat in forma ansarum et ruinorum cum certas lineas expediendas. vulnerabilitas in Log4j 2.17 fixa emissio paucis horis ante dimisit. Periculum vulnerabilitatis mitigatur ex eo quod problema solum in systematibus cum Java VIII apparet.
vulnerabilitas systemata afficit quae in quaestionibus contextualibus utuntur (Context Lookup), sicut ${ctx:var}, ut forma stipes output determinet. Log4j versiones ab 2.0-alpha1 ad 2.16.0 praesidio carebant contra recursu immoderatam, quae permisit impugnatorem mutare valorem in substitutione causandi ansam, ducens ad lassitudinem spatii activitatis et ruinae. Praesertim problema occurrit cum valores substituendi ut "${${::-${::-$${::-j}}}}".
Praeterea notari potest quod investigatores ex Blumira optionem proposuerunt ad applicationes vulnerabiles Javas, quae externas petitiones retiaculas non recipiunt, exempli gratia systemata tincidunt vel utentium applicationum Javae hoc modo impugnari possunt. Essentia methodi est quod si processus Javae vulnerabiles in systemate utentis usoris nexus retis acceptent solum ab hospite locali, seu petitionibus RMI processum (Remote Method Invocation, port 1099), impetus explicari potest per codicem JavaScript supplicium cum users paginam malignam in navigatro suo aperiunt. Ad connexionem ad portum retis applicationis Javae in tali impetu erigendum, WebSocket API adhibetur, cui, dissimiles petitiones HTTP, restrictiones eiusdem originis non sunt applicatae (potest etiam WebSocket ad emendandos portus retis localis. exercitum ad determinare available network tracto).
Interest etiam eventus a Google editis aestimandi vulnerabilitatem bibliothecarum cum clientela Log4j sociatorum. Secundum Google quaestio 8% omnium fasciculorum in Maven Centralis repositorium afficit. Speciatim, 35863 fasciculi Java cum Log4 adiuncti per clientelas directas et indirectas passibilitates expositae sunt. Eodem tempore, Log4j directo primo gradu dependentiae ponitur tantum in 17% casuum, et in 83% fasciculorum affectatorum, ligamen exercetur per fasciculos intermedios qui pendent a Log4j, i.e. gallicae secundo et altiori gradu (21% β secundo gradu, 12% β tertio, 14% β quarto, 26% β quinto, 6% β sexto). In pace figendi vulnerabilitas adhuc multum desiderandum relinquit: post hebdomadem post vulnerabilitatem ex 35863 fasciculis notatis identificatus est, quaestio in tantum 4620, i.e. ad XIII%.
Interim, US Cybersecuritas et Infrastructurae Praesidium Agency denuntiavit subitis directivum agentia foederati exigendi ad cognoscendas informationes systemata vulnerabilitas Log4j affectas et inaugurationes quae problema intercluderent a 23 Decembris. Per diem 28 Decembris, instituta requiruntur ut de suo labore renuntient. Ad simpliciorem identitatem systematum problematicorum, index productorum confirmatorum ad vulnerabilitates exhibendas paratus est (inscriptio includit plus quam XXIII milia applicationum).
Source: opennet.ru