Друга ранливост во Log4j 2. Проблемите во Log4j влијаат на 8% од Maven пакетите

Друга ранливост е идентификувана во библиотеката Log4j 2 (CVE-2021-45105), која, за разлика од претходните два проблеми, е класифицирана како опасна, но не и критична. Новото издание ви овозможува да предизвикате одбивање на услугата и се манифестира во форма на јамки и паѓања при обработка на одредени линии. Ранливоста беше поправена во изданието Log4j 2.17 објавено пред неколку часа. Опасноста од ранливоста се ублажува со фактот што проблемот се појавува само на системите со Java 8.

Ранливоста влијае на системите кои користат контекстуални прашања (Контекст пребарување), како што е ${ctx:var}, за да се одреди излезниот формат на дневникот. На верзиите на Log4j од 2.0-alpha1 до 2.16.0 им недостасуваше заштита од неконтролирана рекурзија, што му овозможи на напаѓачот да манипулира со вредноста што се користи во замената за да предизвика јамка, што доведе до исцрпување на просторот на магацинот и пад. Особено, проблемот се појави при замена на вредности како што се „${${::-${::-$${::-j}}}}“.

Дополнително, може да се забележи дека истражувачите од Blumira предложија опција за напад на ранливи Java апликации кои не прифаќаат надворешни мрежни барања; на пример, системите на програмери или корисници на Java апликации може да бидат нападнати на овој начин. Суштината на методот е дека ако има ранливи Java процеси на системот на корисникот кои прифаќаат мрежни врски само од локалниот домаќин или обработуваат барања RMI (Remote Method Invocation, порта 1099), нападот може да се изврши со извршен код JavaScript кога корисниците отвораат злонамерна страница во нивниот прелистувач. За да се воспостави врска со мрежната порта на апликацијата Java за време на таков напад, се користи WebSocket API, на кој, за разлика од барањата HTTP, не се применуваат ограничувања со исто потекло (WebSocket може да се користи и за скенирање мрежни порти на локалната домаќин со цел да се утврдат достапните мрежни ракувачи).

Исто така интересни се резултатите објавени од Google за проценка на ранливоста на библиотеките поврзани со зависностите на Log4j. Според Google, проблемот влијае на 8% од сите пакети во складиштето Maven Central. Конкретно, 35863 Java пакети поврзани со Log4j преку директни и индиректни зависности беа изложени на пропусти. Во исто време, Log4j се користи како директна зависност од прво ниво само во 17% од случаите, а во 83% од засегнатите пакети, врзувањето се врши преку средни пакети кои зависат од Log4j, т.е. зависности од второ и повисоко ниво (21% - второ ниво, 12% - трето, 14% - четврто, 26% - петто, 6% - шесто). Темпото на поправање на ранливоста сè уште остава многу да се посакува, една недела откако беше идентификувана ранливоста, од 35863 идентификувани пакети, проблемот досега е надминат само во 4620, т.е. на 13%.

Во меѓувреме, американската Агенција за кибер-безбедност и заштита на инфраструктурата издаде директива за итни случаи со која се бара од федералните агенции да ги идентификуваат информациските системи погодени од ранливоста на Log4j и да инсталираат ажурирања што го блокираат проблемот до 23 декември. До 28 декември, организациите треба да дадат извештај за својата работа. За да се поедностави идентификацијата на проблематичните системи, подготвена е листа на производи за кои е потврдено дека покажуваат пропусти (списокот вклучува повеќе од 23 илјади апликации).

Извор: opennet.ru