Athari nyingine imetambuliwa katika maktaba ya Log4j 2 (CVE-2021-45105), ambayo, tofauti na matatizo mawili ya awali, imeainishwa kuwa hatari, lakini si muhimu. Suala jipya linakuwezesha kusababisha kukataliwa kwa huduma na kujidhihirisha kwa namna ya vitanzi na ajali wakati wa kusindika mistari fulani. Athari hii ilirekebishwa katika toleo la Log4j 2.17 lililotolewa saa chache zilizopita. Hatari ya udhabiti huo inapunguzwa na ukweli kwamba shida inaonekana tu kwenye mifumo iliyo na Java 8.
Athari huathiri mifumo inayotumia hoja za muktadha (Utafutaji Muktadha), kama vile ${ctx:var}, ili kubainisha umbizo la towe la kumbukumbu. Matoleo ya Log4j kutoka 2.0-alpha1 hadi 2.16.0 yalikosa ulinzi dhidi ya ujirudiaji usiodhibitiwa, ambayo iliruhusu mshambulizi kuchezea thamani iliyotumiwa badala yake kusababisha kitanzi, na kusababisha kuisha kwa nafasi ya rafu na ajali. Hasa, tatizo lilitokea wakati wa kubadilisha maadili kama vile "${${::-${::-$${::-j}}}}".
Zaidi ya hayo, inaweza kuzingatiwa kuwa watafiti kutoka Blumira wamependekeza chaguo la kushambulia programu za Java zilizo hatarini ambazo hazikubali maombi ya mtandao wa nje; kwa mfano, mifumo ya wasanidi programu au watumiaji wa programu za Java inaweza kushambuliwa kwa njia hii. Kiini cha mbinu hiyo ni kwamba ikiwa kuna michakato hatari ya Java kwenye mfumo wa mtumiaji ambayo inakubali miunganisho ya mtandao kutoka kwa seva pangishi ya ndani pekee, au kushughulikia maombi ya RMI (Ombi la Njia ya Mbali, bandari 1099), shambulio linaweza kutekelezwa kwa msimbo wa JavaScript. watumiaji wanapofungua ukurasa mbaya katika kivinjari chao. Kuanzisha muunganisho wa lango la mtandao la programu ya Java wakati wa shambulio kama hilo, API ya WebSocket hutumiwa, ambayo, tofauti na maombi ya HTTP, vizuizi vya asili moja havitumiki (WebSocket pia inaweza kutumika kuchanganua bandari za mtandao kwenye eneo la karibu. mwenyeji ili kubaini vidhibiti vya mtandao vinavyopatikana).
Jambo la kufurahisha pia ni matokeo yaliyochapishwa na Google ya kutathmini uwezekano wa kuathiriwa na maktaba zinazohusiana na utegemezi wa Log4j. Kulingana na Google, shida huathiri 8% ya vifurushi vyote kwenye hazina ya Maven Central. Hasa, vifurushi 35863 vya Java vinavyohusishwa na Log4j kupitia utegemezi wa moja kwa moja na usio wa moja kwa moja vilikabiliwa na udhaifu. Wakati huo huo, Log4j hutumiwa kama utegemezi wa moja kwa moja wa kiwango cha kwanza tu katika 17% ya kesi, na katika 83% ya vifurushi vilivyoathiriwa, ufungaji unafanywa kupitia vifurushi vya kati vinavyotegemea Log4j, i.e. madawa ya kulevya ya ngazi ya pili na ya juu (21% - ngazi ya pili, 12% - tatu, 14% - nne, 26% - tano, 6% - sita). Kasi ya kurekebisha udhaifu bado inaacha kuhitajika; wiki moja baada ya udhaifu kutambuliwa, kati ya vifurushi 35863 vilivyotambuliwa, tatizo limerekebishwa hadi sasa katika 4620 tu, i.e. kwa 13%.
Wakati huo huo, Wakala wa Usalama wa Mtandao na Ulinzi wa Miundombinu wa Marekani ulitoa agizo la dharura lililohitaji mashirika ya serikali kutambua mifumo ya taarifa iliyoathiriwa na athari ya Log4j na kusakinisha masasisho ambayo yanazuia tatizo kufikia tarehe 23 Desemba. Kufikia Desemba 28, mashirika yanatakiwa kuripoti kazi zao. Ili kurahisisha utambuzi wa mifumo yenye matatizo, orodha ya bidhaa ambazo zimethibitishwa kuonyesha udhaifu zimetayarishwa (orodha inajumuisha maombi zaidi ya elfu 23).
Chanzo: opennet.ru