kerentanan sejen geus dicirikeun dina perpustakaan Log4j 2 (CVE-2021-45105), nu, kawas dua masalah saméméhna, digolongkeun kana bahaya, tapi teu kritis. Masalah anyar ngamungkinkeun anjeun pikeun nyababkeun panolakan jasa sareng nunjukkeun diri dina bentuk puteran sareng kacilakaan nalika ngolah jalur anu tangtu. Kerentanan ieu dibenerkeun dina sékrési Log4j 2.17 dileupaskeun sababaraha jam ka pengker. Bahaya kerentanan dikurangan ku kanyataan yén masalahna ngan ukur muncul dina sistem sareng Java 8.
Kerentanan mangaruhan sistem anu ngagunakeun pamundut kontekstual (Context Lookup), sapertos ${ctx:var}, pikeun nangtukeun format kaluaran log. Vérsi Log4j tina 2.0-alpha1 mun 2.16.0 lacked panyalindungan ngalawan recursion uncontrolled, nu diwenangkeun hiji lawan pikeun ngamanipulasi nilai dipaké dina substitusi ngabalukarkeun loop a, ngarah ka kacapean spasi tumpukan jeung kacilakaan a. Khususna, masalah lumangsung nalika ngagantian nilai sapertos "${${::-${::-$${::-j}}}}".
Salaku tambahan, tiasa dicatet yén panalungtik ti Blumira parantos ngusulkeun pilihan pikeun nyerang aplikasi Java anu rentan anu henteu nampi pamundut jaringan éksternal; contona, sistem pamekar atanapi pangguna aplikasi Java tiasa diserang ku cara ieu. Hakekat métode nyaéta yén lamun aya prosés Java rentan dina sistem pamaké nu nampa sambungan jaringan ngan ti host lokal, atawa prosés requests RMI (Remote Métode Invocation, port 1099), serangan bisa dilaksanakeun ku kode JavaScript dieksekusi. lamun pamaké muka kaca jahat dina browser maranéhanana. Pikeun nyieun sambungan ka port jaringan tina aplikasi Java salila serangan misalna, WebSocket API dipaké, nu, kawas requests HTTP, larangan sarua-asal teu dilarapkeun (WebSocket ogé bisa dipaké pikeun nyeken palabuhan jaringan dina lokal). host pikeun nangtukeun pawang jaringan anu sayogi).
Ogé anu dipikaresep nyaéta hasil anu diterbitkeun ku Google ngeunaan meunteun kerentanan perpustakaan anu aya hubunganana sareng kagumantungan Log4j. Numutkeun kana Google, masalahna mangaruhan 8% tina sadaya bungkusan dina gudang Maven Central. Khususna, 35863 bungkusan Java anu aya hubunganana sareng Log4j ngalangkungan katergantungan langsung sareng henteu langsung kakeunaan kerentanan. Dina waktos anu sami, Log4j dianggo salaku kagumantungan tingkat kahiji langsung dina 17% kasus, sareng dina 83% tina bungkusan anu kapangaruhan, ngariung dilaksanakeun ngalangkungan bungkusan perantara anu gumantung kana Log4j, i.e. addictions tina tingkat kadua jeung luhur (21% - tingkat kadua, 12% - katilu, 14% - kaopat, 26% - kalima, 6% - kagenep). Laju ngalereskeun kerentanan masih seueur anu dipikahoyong; saminggu saatos kerentanan diidentifikasi, tina 35863 bungkusan anu diidentifikasi, masalahna parantos dibereskeun dugi ka 4620, nyaéta. dina 13%.
Samentawis éta, Badan Perlindungan Siber sareng Infrastruktur AS ngaluarkeun arahan darurat anu meryogikeun agénsi féderal pikeun ngaidentipikasi sistem inpormasi anu kapangaruhan ku kerentanan Log4j sareng masang apdet anu ngahalangan masalah ku 23 Désémber. Nepi ka 28 Désémber, organisasi diwajibkeun ngalaporkeun karyana. Pikeun nyederhanakeun idéntifikasi sistem masalah, daptar produk anu parantos dikonfirmasi nunjukkeun kerentanan parantos disiapkeun (daptar kalebet langkung ti 23 rébu aplikasi).
sumber: opennet.ru