Log4j 2 номын санд (CVE-2021-45105) өөр нэг эмзэг байдлыг илрүүлсэн бөгөөд энэ нь өмнөх хоёр асуудлаас ялгаатай нь аюултай гэж ангилагдсан боловч онц чухал биш юм. Шинэ асуудал нь танд үйлчилгээ үзүүлэхээс татгалзах боломжийг олгодог бөгөөд тодорхой мөрүүдийг боловсруулах үед гогцоо, эвдрэл хэлбэрээр илэрдэг. Хэдхэн цагийн өмнө гарсан Log4j 2.17 хувилбарт энэ эмзэг байдлыг зассан. Асуудал нь зөвхөн Java 8-тай систем дээр гарч ирдэг тул эмзэг байдлын аюул багасдаг.
Энэ эмзэг байдал нь логийн гаралтын форматыг тодорхойлохын тулд ${ctx:var} зэрэг контекст хайлтуудыг ашигладаг системүүдэд нөлөөлдөг. 4-alpha2.0-ээс 1 хүртэлх Log2.16.0j хувилбарууд нь хяналтгүй рекурсын эсрэг хамгаалалтгүй байсан бөгөөд энэ нь халдагчид орлуулалтад ашигласан утгыг давталт үүсгэж, стекийн зай дуусч, эвдрэлд хүргэх боломжийг олгосон. Ялангуяа "${${::-${::-$${::-j}}}}" гэх мэт утгуудыг орлуулах үед асуудал гарсан.
Нэмж дурдахад Blumira-ийн судлаачид гадны сүлжээний хүсэлтийг хүлээн авдаггүй эмзэг Java програмууд руу халдах сонголтыг санал болгосныг тэмдэглэж болно; жишээлбэл, Java програмыг хөгжүүлэгчид эсвэл хэрэглэгчдийн системүүд ийм байдлаар халдлагад өртөж болно. Аргын мөн чанар нь хэрэв хэрэглэгчийн систем дээр зөвхөн локал хостоос сүлжээний холболтыг хүлээн авах, эсвэл RMI хүсэлтийг боловсруулах (Алсын Аргын Дуудлага, порт 1099) эмзэг Java процессууд байгаа бол халдлагыг гүйцэтгэсэн JavaScript кодоор хийж болно. хэрэглэгчид өөрсдийн хөтөч дээрээ хортой хуудсыг нээх үед. Ийм халдлагын үед Java програмын сүлжээний порттой холбогдохын тулд WebSocket API-г ашигладаг бөгөөд HTTP хүсэлтээс ялгаатай нь ижил гарал үүслийн хязгаарлалтыг ашигладаггүй (WebSocket-ийг мөн дотоод сүлжээний портуудыг скан хийхэд ашиглаж болно. боломжтой сүлжээний зохицуулагчийг тодорхойлохын тулд хост).
Log4j хамааралтай холбоотой номын сангийн эмзэг байдлыг үнэлэх Google-ээс гаргасан үр дүн нь бас сонирхолтой юм. Google-ийн мэдээлснээр энэ асуудал нь Maven Central репозиторын бүх багцын 8% -д нөлөөлдөг. Тодруулбал, шууд болон шууд бус хамаарлаар дамжуулан Log35863j-тэй холбоотой 4 Java багц эмзэг байдалд өртсөн байна. Үүний зэрэгцээ, Log4j-ийг зөвхөн 17% тохиолдолд шууд нэгдүгээр түвшний хамаарал болгон ашигладаг бөгөөд нөлөөлөлд өртсөн багцын 83% -д холболтыг Log4j-ээс хамааралтай завсрын багцуудаар гүйцэтгэдэг. хоёр ба түүнээс дээш түвшний донтолт (21% - хоёрдугаар түвшин, 12% - гурав, 14% - дөрөв, 26% - тав, 6% - зургаа). Эмзэг байдлыг засах хурд нь хүссэн хүсээгүй хэвээр байна; эмзэг байдлыг илрүүлснээс хойш долоо хоногийн дараа тодорхойлсон 35863 багцаас ердөө 4620-д нь асуудал шийдэгдсэн байна. 13% байна.
Үүний зэрэгцээ, АНУ-ын Кибер аюулгүй байдал, дэд бүтцийг хамгаалах агентлаг холбооны агентлагуудаас Log4j-ийн эмзэг байдалд өртсөн мэдээллийн системийг тодорхойлж, 23-р сарын 28 гэхэд асуудлыг хаах шинэчлэлтүүдийг суулгахыг шаардсан яаралтай заавар гаргажээ. Арванхоёрдугаар сарын 23 гэхэд байгууллагууд ажлаа тайлагнана. Асуудалтай системийг тодорхойлоход хялбар болгохын тулд эмзэг байдлыг харуулсан бүтээгдэхүүний жагсаалтыг гаргасан (жагсаалтад XNUMX мянга гаруй програмууд багтсан).
Эх сурвалж: opennet.ru