Још једна рањивост је идентификована у библиотеци Лог4ј 2 (ЦВЕ-2021-45105), која је, за разлику од претходна два проблема, класификована као опасна, али није критична. Ново издање вам омогућава да изазовете ускраћивање услуге и манифестује се у облику петљи и пада приликом обраде одређених линија. Рањивост је исправљена у издању Лог4ј 2.17 објављеном пре неколико сати. Опасност од рањивости је ублажена чињеницом да се проблем појављује само на системима са Јава 8.
Рањивост утиче на системе који користе контекстуалне упите (Цонтект Лоокуп), као што је ${цтк:вар}, да би одредили излазни формат дневника. Верзије Лог4ј од 2.0-алпха1 до 2.16.0 нису имале заштиту од неконтролисане рекурзије, што је омогућило нападачу да манипулише вредношћу коришћеном у замени да изазове петљу, што је довело до исцрпљивања простора стека и пада. Конкретно, проблем је настао приликом замене вредности као што је „${${::-${::-$${::-ј}}}}“.
Поред тога, може се приметити да су истраживачи из Блумире предложили опцију за напад на рањиве Јава апликације које не прихватају спољне мрежне захтеве; на пример, системи програмера или корисника Јава апликација могу бити нападнути на овај начин. Суштина методе је да ако на корисниковом систему постоје рањиви Јава процеси који прихватају мрежне везе само са локалног хоста, или обрађују РМИ захтеве (Ремоте Метход Инвоцатион, порт 1099), напад се може извести помоћу ЈаваСцрипт кода који се извршава када корисници отворе злонамерну страницу у свом претраживачу. За успостављање везе са мрежним портом Јава апликације током таквог напада, користи се ВебСоцкет АПИ, на који се, за разлику од ХТТП захтева, не примењују ограничења истог порекла (ВебСоцкет се такође може користити за скенирање мрежних портова на локалном хост како би се одредили доступни руковаоци мреже).
Такође су занимљиви резултати које је објавио Гоогле о процени рањивости библиотека повезаних са зависностима Лог4ј. Према Гоогле-у, проблем утиче на 8% свих пакета у Мавен Централ репозиторијуму. Конкретно, 35863 Јава пакета повезаних са Лог4ј путем директних и индиректних зависности било је изложено рањивости. Истовремено, Лог4ј се као директна зависност првог нивоа користи само у 17% случајева, а у 83% погођених пакета, везивање се врши преко међупакета који зависе од Лог4ј, тј. зависности другог и вишег нивоа (21% - други ниво, 12% - трећи, 14% - четврти, 26% - пети, 6% - шести). Темпо отклањања рањивости и даље оставља много да се пожели, недељу дана након што је рањивост идентификована, од 35863 идентификована пакета, проблем је до сада отклоњен у само 4620, тј. на 13%.
У међувремену, америчка Агенција за сајбер безбедност и заштиту инфраструктуре издала је хитну директиву која захтева од савезних агенција да идентификују информационе системе погођене рањивости Лог4ј и инсталирају ажурирања која блокирају проблем до 23. децембра. До 28. децембра организације су дужне да поднесу извештај о свом раду. Да би се поједноставила идентификација проблематичних система, припремљена је листа производа за које је потврђено да показују рањивости (листа обухвата више од 23 хиљаде апликација).
Извор: опеннет.ру