Satu lagi kelemahan telah dikenal pasti dalam perpustakaan Log4j 2 (CVE-2021-45105), yang, tidak seperti dua masalah sebelumnya, diklasifikasikan sebagai berbahaya, tetapi tidak kritikal. Isu baharu membolehkan anda menyebabkan penafian perkhidmatan dan menunjukkan dirinya dalam bentuk gelung dan ranap apabila memproses baris tertentu. Kerentanan telah diperbaiki dalam keluaran Log4j 2.17 yang dikeluarkan beberapa jam yang lalu. Bahaya kerentanan dikurangkan oleh fakta bahawa masalah itu hanya muncul pada sistem dengan Java 8.
Kerentanan mempengaruhi sistem yang menggunakan pertanyaan kontekstual (Context Lookup), seperti ${ctx:var}, untuk menentukan format output log. Versi Log4j daripada 2.0-alpha1 hingga 2.16.0 tidak mempunyai perlindungan terhadap pengulangan yang tidak terkawal, yang membenarkan penyerang memanipulasi nilai yang digunakan dalam penggantian untuk menyebabkan gelung, yang membawa kepada kehabisan ruang tindanan dan ranap sistem. Khususnya, masalah berlaku apabila menggantikan nilai seperti "${${::-${::-$${::-j}}}}".
Selain itu, boleh diperhatikan bahawa penyelidik dari Blumira telah mencadangkan pilihan untuk menyerang aplikasi Java yang terdedah yang tidak menerima permintaan rangkaian luaran; contohnya, sistem pembangun atau pengguna aplikasi Java boleh diserang dengan cara ini. Intipati kaedah ialah jika terdapat proses Java yang terdedah pada sistem pengguna yang menerima sambungan rangkaian hanya daripada hos tempatan, atau memproses permintaan RMI (Invokasi Kaedah Jauh, port 1099), serangan itu boleh dilakukan oleh kod JavaScript yang dilaksanakan. apabila pengguna membuka halaman berniat jahat dalam penyemak imbas mereka. Untuk mewujudkan sambungan ke port rangkaian aplikasi Java semasa serangan sedemikian, API WebSocket digunakan, yang, tidak seperti permintaan HTTP, sekatan asal yang sama tidak digunakan (WebSocket juga boleh digunakan untuk mengimbas port rangkaian pada tempatan hos untuk menentukan pengendali rangkaian yang tersedia).
Turut menarik ialah hasil yang diterbitkan oleh Google untuk menilai kerentanan perpustakaan yang dikaitkan dengan kebergantungan Log4j. Menurut Google, masalah itu menjejaskan 8% daripada semua pakej dalam repositori Maven Central. Khususnya, 35863 pakej Java yang dikaitkan dengan Log4j melalui kebergantungan langsung dan tidak langsung terdedah kepada kelemahan. Pada masa yang sama, Log4j digunakan sebagai pergantungan langsung peringkat pertama hanya dalam 17% kes, dan dalam 83% pakej yang terjejas, pengikatan dilakukan melalui pakej perantaraan yang bergantung pada Log4j, i.e. ketagihan tahap kedua dan lebih tinggi (21% - tahap kedua, 12% - ketiga, 14% - keempat, 26% - kelima, 6% - keenam). Kepantasan membetulkan kelemahan masih memerlukan banyak perkara; seminggu selepas kelemahan dikenal pasti, daripada 35863 pakej yang dikenal pasti, masalah itu telah diselesaikan setakat ini hanya dalam 4620, iaitu. pada 13%.
Sementara itu, Agensi Keselamatan Siber dan Perlindungan Infrastruktur AS mengeluarkan arahan kecemasan yang memerlukan agensi persekutuan mengenal pasti sistem maklumat yang terjejas oleh kelemahan Log4j dan memasang kemas kini yang menyekat masalah itu menjelang 23 Disember. Menjelang 28 Disember, organisasi dikehendaki melaporkan kerja mereka. Untuk memudahkan pengenalpastian sistem yang bermasalah, senarai produk yang telah disahkan menunjukkan kelemahan telah disediakan (senarai itu termasuk lebih daripada 23 ribu aplikasi).
Sumber: opennet.ru