Log4j 2 لائبريري (CVE-2021-45105) ۾ هڪ ٻي خطري جي نشاندهي ڪئي وئي آهي، جيڪا، اڳئين ٻن مسئلن جي برعڪس، خطرناڪ طور تي درجه بندي ڪئي وئي آهي، پر نازڪ ناهي. نئون مسئلو توهان کي اجازت ڏئي ٿو ته خدمت کان انڪار ڪري ۽ پاڻ کي ظاهر ڪري ٿو لوپ ۽ حادثن جي صورت ۾ جڏهن ڪجهه لائينن کي پروسيس ڪندي. ڪجهه ڪلاڪ اڳ جاري ڪيل Log4j 2.17 رليز ۾ ڪمزوري مقرر ڪئي وئي. خطري جي خطري کي گھٽجي ويو آهي حقيقت اها آهي ته مسئلو صرف جاوا 8 سان سسٽم تي ظاهر ٿئي ٿو.
ڪمزوري سسٽم کي متاثر ڪري ٿي جيڪي لاڳاپيل سوالن (Context Lookup) استعمال ڪن ٿا، جهڙوڪ ${ctx:var}، لاگ آئوٽ پٽ فارميٽ کي طئي ڪرڻ لاءِ. Log4j ورجن 2.0-alpha1 کان 2.16.0 تائين غير ڪنٽرول ٿيل ورهاڱي جي خلاف تحفظ جو فقدان آهي، جنهن هڪ حملي آور کي اجازت ڏني ته بدلي ۾ استعمال ڪيل قيمت کي لوپ جو سبب بڻائين، جنهن جي نتيجي ۾ اسٽيڪ اسپيس جي ختم ٿيڻ ۽ حادثي جي ڪري. خاص طور تي، مسئلو پيدا ٿيو جڏهن قدرن کي متبادل بڻايو وڃي جيئن ته "${${::-${::-$${::-j}}}}".
اضافي طور تي، اهو نوٽ ڪري سگهجي ٿو ته Blumira کان محقق هڪ اختيار پيش ڪيو آهي ته خطرناڪ جاوا ايپليڪيشنن تي حملو ڪرڻ لاء جيڪي خارجي نيٽ ورڪ جي درخواستن کي قبول نٿا ڪن؛ مثال طور، ڊولپرز جا سسٽم يا جاوا ايپليڪيشنن جي استعمال ڪندڙن کي هن طريقي سان حملو ڪري سگهجي ٿو. طريقي جو خلاصو اهو آهي ته جيڪڏهن صارف جي سسٽم تي ڪمزور جاوا عمل آهن جيڪي صرف مقامي ميزبان کان نيٽ ورڪ ڪنيڪشن قبول ڪن ٿا، يا RMI درخواستن تي عمل ڪن ٿا (ريموٽ ميٿڊ انوڪيشن، پورٽ 1099)، حملو جاوا اسڪرپٽ ڪوڊ ذريعي ڪري سگهجي ٿو. جڏهن صارف پنهنجي برائوزر ۾ هڪ خراب صفحو کوليندا آهن. اهڙي حملي دوران جاوا ايپليڪيشن جي نيٽ ورڪ پورٽ سان ڪنيڪشن قائم ڪرڻ لاءِ، WebSocket API استعمال ڪيو ويندو آهي، جنهن لاءِ، HTTP درخواستن جي برعڪس، ساڳئي-اصلي پابنديون لاڳو نه ٿينديون آهن (WebSocket پڻ استعمال ڪري سگھجن ٿيون مقامي. دستياب نيٽ ورڪ سنڀاليندڙن کي طئي ڪرڻ لاء ميزبان).
پڻ دلچسپي جو نتيجو آهي گوگل طرفان شايع ٿيل نتيجن جو جائزو وٺڻ سان لاڳاپيل لائبريرين جي نقصان جو Log4j انحصار سان. گوگل جي مطابق، مسئلو متاثر ڪري ٿو 8٪ سڀني پيڪيجز جو Maven مرڪزي مخزن ۾. خاص طور تي، Log35863j سان لاڳاپيل 4 جاوا پيڪيجز سڌي طرح ۽ اڻ سڌي طرح انحصار جي ذريعي خطرن کي بي نقاب ڪيو ويو. ساڳئي وقت، Log4j صرف 17٪ ڪيسن ۾ سڌي طرح پهرين سطح جي انحصار طور استعمال ڪيو ويندو آهي، ۽ متاثر ٿيل پيڪيجز جي 83٪ ۾، پابند وچولي پيڪيجز ذريعي ڪيو ويندو آهي جيڪي Log4j تي منحصر آهن، يعني. ٻئي ۽ اعليٰ سطح جي لت (21٪ - ٻئي سطح، 12٪ - ٽيون، 14٪ - چوٿون، 26٪ - پنجون، 6٪ - ڇهين). ڪمزورين کي درست ڪرڻ جي رفتار اڃا به تمام گهڻي گهربل آهي؛ هڪ هفتي بعد خطري جي نشاندهي ڪئي وئي، 35863 سڃاڻپ پيڪيجز مان، مسئلو اڃا تائين صرف 4620 ۾ طئي ڪيو ويو آهي، يعني. 13 سيڪڙو تي.
ان دوران، يو ايس سائبر سيڪيورٽي ۽ انفراسٽرڪچر پروٽيڪشن ايجنسي هڪ ايمرجنسي هدايت جاري ڪئي جنهن ۾ وفاقي ايجنسين کي گهربل آهي ته اهي Log4j جي خطري کان متاثر ٿيل معلوماتي سسٽم جي نشاندهي ڪن ۽ تازه ڪاريون انسٽال ڪن جيڪي 23 ڊسمبر تائين مسئلي کي بلاڪ ڪن. 28 ڊسمبر تائين، تنظيمن کي انهن جي ڪم جي رپورٽ ڪرڻ جي ضرورت آهي. مشڪلاتي سسٽم جي سڃاڻپ کي آسان ڪرڻ لاء، مصنوعات جي هڪ فهرست تيار ڪئي وئي آهي جيڪا تصديق ڪئي وئي آهي ته خطرات کي ظاهر ڪرڻ لاء (فهرست ۾ 23 هزار کان وڌيڪ ايپليڪيشنون شامل آهن).
جو ذريعو: opennet.ru