ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Log4j හි තවත් අවදානමක් 2. Log4j හි ගැටළු Maven පැකේජ වලින් 8%කට බලපායි

Log4j හි තවත් අවදානමක් 2. Log4j හි ගැටළු Maven පැකේජ වලින් 8%කට බලපායි

Log4j 2 පුස්තකාලයේ (CVE-2021-45105) තවත් අවදානමක් හඳුනාගෙන ඇත, එය පෙර ගැටළු දෙක මෙන් නොව, භයානක ලෙස වර්ගීකරණය කර ඇත, නමුත් විවේචනාත්මක නොවේ. නව නිකුතුව මඟින් ඔබට සේවාව ප්‍රතික්ෂේප කිරීමට ඉඩ ලබා දෙන අතර ඇතැම් රේඛා සැකසීමේදී ලූප සහ බිඳ වැටීම් ආකාරයෙන් ප්‍රකාශ වේ. පැය කිහිපයකට පෙර නිකුත් කරන ලද Log4j 2.17 නිකුතුවේ අවදානම නිරාකරණය කර ඇත. ගැටළුව ජාවා 8 සහිත පද්ධති මත පමණක් දිස්වන බැවින් අවදානමේ අන්තරාය අවම වේ.

ලොග් ප්‍රතිදාන ආකෘතිය නිර්ණය කිරීම සඳහා ${ctx:var} වැනි සන්දර්භ විමසුම් (සන්දර්භය බැලීම) භාවිතා කරන පද්ධතිවලට අවදානම් තත්ත්වය බලපායි. Log4j අනුවාද 2.0-alpha1 සිට 2.16.0 දක්වා පාලනයකින් තොරව පුනරාවර්තනයට එරෙහිව ආරක්ෂාවක් නොතිබුණි, එමඟින් ප්‍රහාරකයෙකුට ලූපයක් ඇති කිරීම සඳහා ආදේශකයේ භාවිතා කරන අගය හැසිරවීමට ඉඩ සලසයි, එය තොග අවකාශය වෙහෙසට පත් කිරීමට සහ බිඳ වැටීමකට තුඩු දෙයි. විශේෂයෙන්ම, "${${::-${::-$${::-j}}}}" වැනි අගයන් ආදේශ කිරීමේදී ගැටළුව ඇති විය.

මීට අමතරව, Blumira හි පර්යේෂකයන් බාහිර ජාල ඉල්ලීම් පිළි නොගන්නා අවදානමට ලක්විය හැකි ජාවා යෙදුම් වලට පහර දීමට විකල්පයක් යෝජනා කර ඇති බව සටහන් කළ හැකිය; උදාහරණයක් ලෙස, සංවර්ධකයින්ගේ හෝ ජාවා යෙදුම් භාවිතා කරන්නන්ගේ පද්ධති මේ ආකාරයෙන් පහර දිය හැකිය. ක්‍රමයේ සාරය නම්, දේශීය ධාරකයෙන් පමණක් ජාල සම්බන්ධතා පිළිගන්නා හෝ RMI ඉල්ලීම් (දුරස්ථ ක්‍රමය ආමන්ත්‍රණය, වරාය 1099) ක්‍රියාවට නංවන අවදානම් ජාවා ක්‍රියාවලි පරිශීලක පද්ධතියේ තිබේ නම්, ප්‍රහාරය ජාවාස්ක්‍රිප්ට් කේතය ක්‍රියාත්මක කිරීමෙන් සිදු කළ හැකිය. පරිශීලකයින් ඔවුන්ගේ බ්‍රවුසරයේ අනිෂ්ට පිටුවක් විවෘත කරන විට. එවැනි ප්‍රහාරයක් අතරතුර ජාවා යෙදුමක ජාල වරායට සම්බන්ධතාවයක් ඇති කර ගැනීම සඳහා, WebSocket API භාවිතා කරනු ලැබේ, HTTP ඉල්ලීම් මෙන් නොව, එකම ප්‍රභවය සීමා කිරීම් අදාළ නොවේ (ප්‍රදේශයේ ජාල වරායන් පරිලෝකනය කිරීමට WebSocket ද භාවිතා කළ හැක. පවතින ජාල හසුරුවන්නන් තීරණය කිරීම සඳහා සත්කාරක).

Log4j හි තවත් අවදානමක් 2. Log4j හි ගැටළු Maven පැකේජ වලින් 8%කට බලපායි

Log4j පරායත්තතා හා සම්බන්ධ පුස්තකාලවල අවදානම තක්සේරු කිරීම සඳහා Google විසින් ප්‍රකාශයට පත් කරන ලද ප්‍රතිඵල ද උනන්දුවක් දක්වයි. Google ට අනුව, මෙම ගැටළුව Maven Central repository හි ඇති සියලුම පැකේජ වලින් 8% කට බලපායි. විශේෂයෙන්ම, සෘජු සහ වක්‍ර පරායත්තතා හරහා Log35863j හා සම්බන්ධ ජාවා පැකේජ 4 ක් දුර්වලතා වලට නිරාවරණය විය. ඒ අතරම, Log4j සෘජු පළමු මට්ටමේ යැපීම ලෙස භාවිතා කරනු ලබන්නේ 17% අවස්ථා වලදී පමණක් වන අතර, බලපෑමට ලක් වූ පැකේජ වලින් 83% කදී, Log4j මත යැපෙන අතරමැදි පැකේජ හරහා බැඳීම සිදු කෙරේ, i.e. දෙවන හා ඉහළ මට්ටමේ ඇබ්බැහිවීම් (21% - දෙවන මට්ටම, 12% - තෙවන, 14% - හතරවන, 26% - පස්වන, 6% - හයවන). අවදානම නිරාකරණය කිරීමේ වේගය තවමත් අපේක්ෂා කිරීමට බොහෝ දේ ඉතිරිව ඇත; අවදානම හඳුනාගෙන සතියකට පසුව, හඳුනාගත් පැකේජ 35863 න්, ගැටලුව මෙතෙක් විසඳා ඇත්තේ 4620 ක පමණි, එනම්. 13% දී.

Log4j හි තවත් අවදානමක් 2. Log4j හි ගැටළු Maven පැකේජ වලින් 8%කට බලපායි

මේ අතර, එක්සත් ජනපද සයිබර් ආරක්ෂණ සහ යටිතල පහසුකම් ආරක්ෂණ ඒජන්සිය විසින් හදිසි නියෝගයක් නිකුත් කරන ලද අතර, ෆෙඩරල් ආයතන විසින් Log4j අවදානමෙන් පීඩාවට පත් වූ තොරතුරු පද්ධති හඳුනාගෙන දෙසැම්බර් 23 වන විට ගැටලුව අවහිර කරන යාවත්කාලීන ස්ථාපනය කිරීමට අවශ්‍ය වේ. දෙසැම්බර් 28 වන විට, සංවිධාන ඔවුන්ගේ වැඩ කටයුතු වාර්තා කිරීමට අවශ්ය වේ. ගැටළු සහගත පද්ධති හඳුනා ගැනීම සරල කිරීම සඳහා, අවදානම් ප්‍රදර්ශනය කිරීමට තහවුරු කර ඇති නිෂ්පාදන ලැයිස්තුවක් සකස් කර ඇත (ලැයිස්තුවට යෙදුම් 23 දහසකට වඩා ඇතුළත් වේ).

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න