Log4j 2 நூலகத்தில் (CVE-2021-45105) மற்றொரு பாதிப்பு கண்டறியப்பட்டுள்ளது, இது முந்தைய இரண்டு சிக்கல்களைப் போலல்லாமல், ஆபத்தானதாக வகைப்படுத்தப்பட்டுள்ளது, ஆனால் முக்கியமானதல்ல. புதிய சிக்கல் சேவையின் மறுப்பை ஏற்படுத்த உங்களை அனுமதிக்கிறது மற்றும் சில வரிகளை செயலாக்கும்போது சுழல்கள் மற்றும் செயலிழப்புகளின் வடிவத்தில் தன்னை வெளிப்படுத்துகிறது. சில மணிநேரங்களுக்கு முன்பு வெளியிடப்பட்ட Log4j 2.17 வெளியீட்டில் பாதிப்பு சரி செய்யப்பட்டது. ஜாவா 8 இல் உள்ள கணினிகளில் மட்டுமே சிக்கல் தோன்றும் என்பதன் மூலம் பாதிப்பின் ஆபத்து குறைக்கப்படுகிறது.
பதிவு வெளியீட்டு வடிவமைப்பைத் தீர்மானிக்க ${ctx:var} போன்ற சூழல் வினவல்களைப் (சூழல் தேடுதல்) பயன்படுத்தும் அமைப்புகளைப் பாதிப்பு பாதிக்கிறது. 4-alpha2.0 இலிருந்து 1 வரையிலான Log2.16.0j பதிப்புகள் கட்டுப்பாடற்ற மறுநிகழ்வுக்கு எதிரான பாதுகாப்பைக் கொண்டிருக்கவில்லை, இது தாக்குபவர் ஒரு சுழற்சியை ஏற்படுத்துவதற்கு மாற்றீட்டில் பயன்படுத்தப்படும் மதிப்பைக் கையாள அனுமதித்தது, இது ஸ்டேக் ஸ்பேஸ் தீர்ந்துவிடும் மற்றும் செயலிழக்கச் செய்தது. குறிப்பாக, "${${::-${::-$${::-j}}}}" போன்ற மதிப்புகளை மாற்றும் போது சிக்கல் ஏற்பட்டது.
கூடுதலாக, Blumira இன் ஆராய்ச்சியாளர்கள் வெளிப்புற நெட்வொர்க் கோரிக்கைகளை ஏற்காத பாதிக்கப்படக்கூடிய ஜாவா பயன்பாடுகளைத் தாக்கும் விருப்பத்தை முன்மொழிந்துள்ளனர் என்பதை கவனத்தில் கொள்ளலாம்; எடுத்துக்காட்டாக, டெவலப்பர்களின் அமைப்புகள் அல்லது ஜாவா பயன்பாடுகளின் பயனர்கள் இந்த வழியில் தாக்கப்படலாம். இந்த முறையின் சாராம்சம் என்னவென்றால், பயனரின் கணினியில் பாதிக்கப்படக்கூடிய ஜாவா செயல்முறைகள் இருந்தால், அவை உள்ளூர் ஹோஸ்டிலிருந்து பிணைய இணைப்புகளை ஏற்கும் அல்லது RMI கோரிக்கைகளை (ரிமோட் மெத்தட் இன்வொகேஷன், போர்ட் 1099) செயல்படுத்தினால், ஜாவாஸ்கிரிப்ட் குறியீட்டை செயல்படுத்துவதன் மூலம் தாக்குதலை மேற்கொள்ளலாம். பயனர்கள் தங்கள் உலாவியில் தீங்கிழைக்கும் பக்கத்தைத் திறக்கும்போது. அத்தகைய தாக்குதலின் போது ஜாவா பயன்பாட்டின் நெட்வொர்க் போர்ட்டுடன் இணைப்பை ஏற்படுத்த, WebSocket API பயன்படுத்தப்படுகிறது, இதற்கு, HTTP கோரிக்கைகளைப் போலன்றி, ஒரே மூலக் கட்டுப்பாடுகள் பயன்படுத்தப்படாது (உள்ளூர் நெட்வொர்க் போர்ட்களை ஸ்கேன் செய்ய WebSocket ஐப் பயன்படுத்தலாம். கிடைக்கக்கூடிய நெட்வொர்க் ஹேண்ட்லர்களைத் தீர்மானிக்க ஹோஸ்ட்).
Log4j சார்புகளுடன் தொடர்புடைய நூலகங்களின் பாதிப்பை மதிப்பிடும் கூகுள் வெளியிட்ட முடிவுகளும் ஆர்வமாக உள்ளன. கூகிளின் கூற்றுப்படி, மேவன் மத்திய களஞ்சியத்தில் உள்ள அனைத்து தொகுப்புகளிலும் 8% பிரச்சனை பாதிக்கிறது. குறிப்பாக, நேரடி மற்றும் மறைமுக சார்புகள் மூலம் Log35863j உடன் தொடர்புடைய 4 ஜாவா தொகுப்புகள் பாதிப்புகளுக்கு ஆளாகியுள்ளன. அதே நேரத்தில், Log4j 17% வழக்குகளில் மட்டுமே நேரடி முதல்-நிலை சார்புநிலையாகப் பயன்படுத்தப்படுகிறது, மேலும் 83% பாதிக்கப்பட்ட தொகுப்புகளில், Log4j ஐச் சார்ந்திருக்கும் இடைநிலை தொகுப்புகள் மூலம் பிணைப்பு மேற்கொள்ளப்படுகிறது, அதாவது. இரண்டாவது மற்றும் உயர் மட்டத்தின் போதை (21% - இரண்டாவது நிலை, 12% - மூன்றாவது, 14% - நான்காவது, 26% - ஐந்தாவது, 6% - ஆறாவது). பாதிப்பை சரிசெய்வதற்கான வேகம் இன்னும் விரும்பத்தக்கதாக உள்ளது; பாதிப்பு கண்டறியப்பட்ட ஒரு வாரத்திற்குப் பிறகு, அடையாளம் காணப்பட்ட 35863 தொகுப்புகளில், இதுவரை 4620 பேக்கேஜ்களில் மட்டுமே சிக்கல் சரி செய்யப்பட்டுள்ளது, அதாவது. 13% இல்.
இதற்கிடையில், யுஎஸ் சைபர் செக்யூரிட்டி மற்றும் இன்ஃப்ராஸ்ட்ரக்சர் ப்ரொடெக்ஷன் ஏஜென்சி, ஃபெடரல் ஏஜென்சிகள் Log4j பாதிப்பால் பாதிக்கப்பட்டுள்ள தகவல் அமைப்புகளைக் கண்டறிந்து, டிசம்பர் 23க்குள் சிக்கலைத் தடுக்கும் புதுப்பிப்புகளை நிறுவ வேண்டும் என்று அவசர உத்தரவு ஒன்றை வெளியிட்டது. டிசம்பர் 28 ஆம் தேதிக்குள், நிறுவனங்கள் தங்கள் பணிகளைப் பற்றி தெரிவிக்க வேண்டும். சிக்கலான அமைப்புகளை அடையாளம் காண்பதை எளிதாக்க, பாதிப்புகளை வெளிப்படுத்த உறுதிசெய்யப்பட்ட தயாரிப்புகளின் பட்டியல் தயாரிக்கப்பட்டுள்ளது (பட்டியலில் 23 ஆயிரத்துக்கும் மேற்பட்ட பயன்பாடுகள் உள்ளன).
ஆதாரம்: opennet.ru