Log4j 2 లైబ్రరీలో ఒక కొత్త లోపం (CVE-2021-45105) కనుగొనబడింది. గత రెండు సమస్యలలా కాకుండా, దీనిని ప్రమాదకరమైనదిగా వర్గీకరించారు కానీ తీవ్రమైనదిగా కాదు. ఈ కొత్త సమస్య, కొన్ని స్ట్రింగ్లను ప్రాసెస్ చేస్తున్నప్పుడు 'డినయల్ ఆఫ్ సర్వీస్'కు దారితీస్తుంది మరియు లూప్ ఏర్పడి క్రాష్ అవుతుంది. కొన్ని గంటల క్రితం విడుదలైన Log4j 2.17లో ఈ లోపాన్ని సరిదిద్దారు. ఈ లోపం కేవలం జావా 8 నడుస్తున్న సిస్టమ్లను మాత్రమే ప్రభావితం చేస్తుందనే వాస్తవం వల్ల దీని తీవ్రత తగ్గుతుంది.
లాగ్ అవుట్పుట్ ఫార్మాట్ను నిర్ధారించడానికి ${ctx:var} వంటి కాంటెక్స్ట్ లుకప్ క్వెరీలను (CLOలు) ఉపయోగించే సిస్టమ్లను ఈ లోపం ప్రభావితం చేస్తుంది. Log4j వెర్షన్లు 2.0-alpha1 నుండి 2.16.0 వరకు అనియంత్రిత రికర్షన్కు వ్యతిరేకంగా రక్షణను కలిగి లేవు, దీనివల్ల దాడి చేసేవారు సబ్స్టిట్యూషన్లో ఉపయోగించిన విలువను తారుమారు చేసి ఒక లూప్ను సృష్టించగలరు, ఇది స్టాక్ ఎగ్జాషన్ మరియు ప్రాసెస్ క్రాష్లకు దారితీస్తుంది. ప్రత్యేకంగా, "${${::-${::-$${::-j}}}}" వంటి విలువలను సబ్స్టిట్యూట్ చేస్తున్నప్పుడు ఈ సమస్య సంభవించింది.
అదనంగా, బాహ్య నెట్వర్క్ అభ్యర్థనలను అంగీకరించని హాని కలిగించే జావా అప్లికేషన్లపై దాడి చేయడానికి బ్లూమిరా పరిశోధకులు ఒక పద్ధతిని ప్రతిపాదించారు. ఉదాహరణకు, జావా అప్లికేషన్ డెవలపర్లు లేదా వినియోగదారుల సిస్టమ్లపై దాడి చేయడానికి దీనిని ఉపయోగించవచ్చు. ఈ పద్ధతి యొక్క సారాంశం ఏమిటంటే, ఒక వినియోగదారు సిస్టమ్లో లోకల్హోస్ట్ నుండి మాత్రమే నెట్వర్క్ కనెక్షన్లను అంగీకరించే లేదా RMI (రిమోట్ మెథడ్ ఇన్వోకేషన్, పోర్ట్ 1099) అభ్యర్థనలను నిర్వహించే హాని కలిగించే జావా ప్రాసెస్లు ఉంటే, వినియోగదారు వారి బ్రౌజర్లో ఒక హానికరమైన పేజీని తెరిచినప్పుడు అమలు అయ్యే జావాస్క్రిప్ట్ కోడ్ ద్వారా ఈ దాడిని నిర్వహించవచ్చు. జావా అప్లికేషన్ యొక్క నెట్వర్క్ పోర్ట్కు కనెక్షన్ను ఏర్పాటు చేయడానికి, ఈ దాడి వెబ్సాకెట్ APIని ఉపయోగిస్తుంది. ఇది, HTTP అభ్యర్థనల వలె కాకుండా, సేమ్-ఒరిజిన్ పరిమితులకు లోబడి ఉండదు. (ఇప్పటికే ఉన్న నెట్వర్క్ హ్యాండ్లర్లను గుర్తించడానికి లోకల్ హోస్ట్లోని నెట్వర్క్ పోర్ట్లను స్కాన్ చేయడానికి కూడా వెబ్సాకెట్ను ఉపయోగించవచ్చు.)
Google ప్రచురించిన, Log4j డిపెండెన్సీలు ఉన్న లైబ్రరీల యొక్క దుర్బలత్వ అంచనా ఫలితాలు కూడా ఆసక్తికరంగా ఉన్నాయి. Google ప్రకారం, ఈ సమస్య Maven Central రిపోజిటరీలోని అన్ని ప్యాకేజీలలో 8% ప్రభావితం చేస్తుంది. ప్రత్యేకంగా, ఈ దుర్బలత్వం Log4j పై ప్రత్యక్ష మరియు పరోక్ష డిపెండెన్సీలు ఉన్న 35863 జావా ప్యాకేజీలను ప్రభావితం చేసింది. కేవలం 17% సందర్భాలలో మాత్రమే Log4j ప్రత్యక్ష మొదటి-స్థాయి డిపెండెన్సీగా ఉపయోగించబడింది, అయితే 83% దుర్బల ప్యాకేజీలలో, ఈ అనుసంధానం Log4j పై ఆధారపడిన మధ్యంతర ప్యాకేజీల ద్వారా, అంటే రెండవ-స్థాయి మరియు అంతకంటే ఎక్కువ డిపెండెన్సీల ద్వారా జరిగింది (వీటిలో 21% రెండవ-స్థాయి, 12% మూడవ-స్థాయి, 14% నాల్గవ-స్థాయి, 26% ఐదవ-స్థాయి, మరియు 6% ఆరవ-స్థాయి). దుర్బలత్వాన్ని సరిచేసే రేటు ఇంకా ఆశించినంతగా లేదు: దుర్బలత్వాన్ని గుర్తించిన ఒక వారం తర్వాత, ఇప్పటివరకు గుర్తించిన 35863 ప్యాకేజీలలో కేవలం 4620 ప్యాకేజీలలో, అంటే 13%లో మాత్రమే ఈ సమస్య పరిష్కరించబడింది.
ఈలోగా, లాగ్4జె (Log4j) దుర్బలత్వానికి గురయ్యే సమాచార వ్యవస్థలను గుర్తించి, డిసెంబర్ 23 లోగా ఈ సమస్యను తగ్గించడానికి ప్యాచ్లను ఇన్స్టాల్ చేయాలని ఫెడరల్ ఏజెన్సీలను ఆదేశిస్తూ యూఎస్ సైబర్సెక్యూరిటీ అండ్ ఇన్ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ ఒక అత్యవసర ఆదేశాన్ని జారీ చేసింది. సంస్థలు డిసెంబర్ 28 లోగా తమ పురోగతిని నివేదించాల్సి ఉంటుంది. ప్రభావిత వ్యవస్థలను గుర్తించడాన్ని సులభతరం చేయడానికి, ఈ దుర్బలత్వం కోసం ఉత్పత్తుల జాబితా (23,000కు పైగా అప్లికేషన్లు) సిద్ధం చేయబడింది.
మూలం: opennet.ru
