Log4j 2 நூலகத்தில் ஒரு புதிய பாதிப்பு (CVE-2021-45105) கண்டறியப்பட்டுள்ளது. முந்தைய இரண்டு சிக்கல்களைப் போலல்லாமல், இது ஆபத்தானது ஆனால் முக்கியமானதல்ல என வகைப்படுத்தப்பட்டுள்ளது. இந்தப் புதிய சிக்கல் சேவை மறுக்கப்படுவதை அனுமதிக்கிறது மற்றும் சில சரங்களைச் செயலாக்கும்போது ஒரு லூப் மற்றும் செயலிழப்பாக வெளிப்படுகிறது. சில மணிநேரங்களுக்கு முன்பு வெளியிடப்பட்ட Log4j 2.17 இல் பாதிப்பு சரி செய்யப்பட்டது. இது ஜாவா 8 இயங்கும் அமைப்புகளை மட்டுமே பாதிக்கிறது என்பதன் மூலம் பாதிப்பின் தீவிரம் குறைக்கப்படுகிறது.
பதிவு வெளியீட்டு வடிவமைப்பைத் தீர்மானிக்க ${ctx:var} போன்ற சூழல் தேடல் வினவல்களை (CLOs) பயன்படுத்தும் அமைப்புகளை இந்த பாதிப்பு பாதிக்கிறது. 2.0-alpha1 முதல் 2.16.0 வரையிலான Log4j பதிப்புகள் கட்டுப்பாடற்ற மறுநிகழ்வுக்கு எதிராக பாதுகாப்பைக் கொண்டிருக்கவில்லை, இதனால் தாக்குபவர் மாற்றீட்டில் பயன்படுத்தப்படும் மதிப்பைக் கையாள அனுமதித்து, ஒரு சுழற்சியை ஏற்படுத்தினார், இது அடுக்கு சோர்வு மற்றும் செயல்முறை செயலிழப்புகளுக்கு வழிவகுத்தது. குறிப்பாக, "${${::-${::-$${::-j}}}}" போன்ற மதிப்புகளை மாற்றும்போது சிக்கல் ஏற்பட்டது.
கூடுதலாக, வெளிப்புற நெட்வொர்க் கோரிக்கைகளை ஏற்காத பாதிக்கப்படக்கூடிய ஜாவா பயன்பாடுகள் மீது தாக்குதலை ப்ளூமிராவைச் சேர்ந்த ஆராய்ச்சியாளர்கள் முன்மொழிந்துள்ளனர். எடுத்துக்காட்டாக, ஜாவா பயன்பாட்டு டெவலப்பர்கள் அல்லது பயனர்களின் அமைப்புகளைத் தாக்க இது பயன்படுத்தப்படலாம். இந்த முறையின் சாராம்சம் என்னவென்றால், ஒரு பயனரின் அமைப்பில் லோக்கல் ஹோஸ்டிலிருந்து நெட்வொர்க் இணைப்புகளை மட்டுமே ஏற்றுக்கொள்ளும் அல்லது RMI கோரிக்கைகளை கையாளும் பாதிக்கப்படக்கூடிய ஜாவா செயல்முறைகள் இருந்தால் (ரிமோட் மெத்தட் இன்வோகேஷன், போர்ட் 1099), பயனர் தங்கள் உலாவியில் ஒரு தீங்கிழைக்கும் பக்கத்தைத் திறக்கும்போது செயல்படுத்தப்படும் ஜாவாஸ்கிரிப்ட் குறியீட்டால் தாக்குதலை மேற்கொள்ள முடியும். ஜாவா பயன்பாட்டின் நெட்வொர்க் போர்ட்டுடன் இணைப்பை ஏற்படுத்த, இந்தத் தாக்குதல் WebSocket API ஐப் பயன்படுத்துகிறது, இது HTTP கோரிக்கைகளைப் போலன்றி, ஒரே மூலக் கட்டுப்பாடுகளுக்கு உட்பட்டது அல்ல. (ஏற்கனவே உள்ள நெட்வொர்க் கையாளுபவர்களை அடையாளம் காண உள்ளூர் ஹோஸ்டில் உள்ள நெட்வொர்க் போர்ட்களை ஸ்கேன் செய்யவும் WebSocket ஐப் பயன்படுத்தலாம்.)
கூகிள் வெளியிட்ட Log4j சார்புநிலைகளைக் கொண்ட நூலகங்களின் பாதிப்பு மதிப்பீட்டின் முடிவுகளும் ஆர்வத்தைத் தூண்டுகின்றன. கூகிள் படி, இந்த சிக்கல் மேவன் சென்ட்ரல் களஞ்சியத்தில் உள்ள அனைத்து தொகுப்புகளிலும் 8% ஐ பாதிக்கிறது. குறிப்பாக, பாதிப்பு Log4j இல் நேரடி மற்றும் மறைமுக சார்புநிலைகளைக் கொண்ட 35863 ஜாவா தொகுப்புகளை பாதித்தது. Log4j 17% நிகழ்வுகளில் மட்டுமே நேரடி முதல்-நிலை சார்புநிலையாகப் பயன்படுத்தப்படுகிறது, அதே நேரத்தில் பாதிக்கப்படக்கூடிய தொகுப்புகளில் 83% இல், பிணைப்பு Log4j ஐச் சார்ந்த இடைநிலை தொகுப்புகள் மூலம் மேற்கொள்ளப்படுகிறது, அதாவது, இரண்டாம்-நிலை மற்றும் உயர் சார்புநிலைகள் (21% இரண்டாம்-நிலை, 12% மூன்றாம்-நிலை, 14% நான்காவது-நிலை, 26% ஐந்தாவது-நிலை, மற்றும் 6% ஆறாவது-நிலை). பாதிப்பு ஒட்டுதலின் விகிதம் இன்னும் விரும்பத்தக்கதாகவே உள்ளது: பாதிப்பு அடையாளம் காணப்பட்ட ஒரு வாரத்திற்குப் பிறகும், இதுவரை 35863 அடையாளம் காணப்பட்ட தொகுப்புகளில் 4620 இல் மட்டுமே, அதாவது 13% இல் மட்டுமே சிக்கல் சரி செய்யப்பட்டுள்ளது.
இதற்கிடையில், அமெரிக்க சைபர் பாதுகாப்பு மற்றும் உள்கட்டமைப்பு பாதுகாப்பு நிறுவனம், டிசம்பர் 23 ஆம் தேதிக்குள் Log4j பாதிப்புக்கு ஆளாகக்கூடிய தகவல் அமைப்புகளைக் கண்டறிந்து, சிக்கலைத் தணிக்க இணைப்புகளை நிறுவுமாறு கூட்டாட்சி நிறுவனங்களுக்கு அவசர உத்தரவை பிறப்பித்தது. நிறுவனங்கள் டிசம்பர் 28 ஆம் தேதிக்குள் தங்கள் முன்னேற்றத்தைப் புகாரளிக்க வேண்டும். பாதிக்கப்பட்ட அமைப்புகளை அடையாளம் காண வசதியாக, பாதிப்புக்கான தயாரிப்புகளின் பட்டியல் (23 க்கும் மேற்பட்ட பயன்பாடுகள்) தயாரிக்கப்பட்டுள்ளது.
ஆதாரம்: opennet.ru
