Як осебпазирии дигар дар китобхонаи Log4j 2 (CVE-2021-45105) муайян шудааст, ки бар хилофи ду мушкилоти қаблӣ хатарнок, вале муҳим нест. Масъалаи нав ба шумо имкон медиҳад, ки радди хидматро ба вуҷуд оред ва ҳангоми коркарди хатҳои муайян дар шакли ҳалқаҳо ва садамаҳо зоҳир мешавад. Ин осебпазирӣ дар версияи Log4j 2.17, ки чанд соат пеш нашр шуда буд, ислоҳ карда шуд. Хавфи осебпазирӣ бо он кам карда мешавад, ки мушкилот танҳо дар системаҳои Java 8 пайдо мешаванд.
Ин осебпазирӣ ба системаҳое таъсир мерасонад, ки дархостҳои контекстӣ (Ҷустуҷӯи контекст), ба монанди ${ctx:var}, барои муайян кардани формати баромади гузоришҳоро истифода мебаранд. Версияҳои Log4j аз 2.0-alpha1 то 2.16.0 аз рекурсияи беназорат муҳофизат надоштанд, ки ин ба ҳамлагар имкон дод, ки арзиши ҳангоми ивазкунӣ истифодашударо идора кунад, то боиси гардиш шавад, ки боиси тамом шудани фазои стек ва садама мегардад. Аз ҷумла, ҳангоми иваз кардани арзишҳо, ба монанди "${${::-${::-$${::-j}}}}" мушкилот ба миён омад.
Илова бар ин, метавон қайд кард, ки муҳаққиқони Blumira як варианти ҳамла ба барномаҳои осебпазири Java, ки дархостҳои шабакаи берунаро қабул намекунанд, пешниҳод кардаанд; масалан, ба системаҳои таҳиягарон ё корбарони барномаҳои Java бо ин роҳ ҳамла кардан мумкин аст. Моҳияти усул дар он аст, ки агар дар системаи корбар равандҳои осебпазири Java вуҷуд дошта бошанд, ки пайвастҳои шабакавиро танҳо аз ҳости маҳаллӣ қабул мекунанд ё дархостҳои RMI-ро коркард мекунанд (Remote Method Invocation, порт 1099), ҳамла метавонад тавассути коди JavaScript иҷро карда шавад. вақте ки корбарон дар браузери худ саҳифаи зарароварро мекушоянд. Барои барқарор кардани пайвастшавӣ ба бандари шабакаи замимаи Java ҳангоми чунин ҳамла API WebSocket истифода мешавад, ки ба он бар хилофи дархостҳои HTTP маҳдудиятҳои якхела татбиқ карда намешаванд (WebSocket инчунин метавонад барои скан кардани портҳои шабакавӣ дар локалӣ истифода шавад) ҳост барои муайян кардани коркардкунандагони дастраси шабака).
Инчунин натиҷаҳои аз ҷониби Google нашршуда оид ба арзёбии осебпазирии китобхонаҳои марбут ба вобастагии Log4j ҷолибанд. Мувофиқи маълумоти Google, мушкилот ба 8% тамоми бастаҳои анбори марказии Maven таъсир мерасонад. Аз ҷумла, 35863 бастаҳои Java, ки бо Log4j тавассути вобастагии мустақим ва ғайримустақим алоқаманданд, ба осебпазирӣ дучор шуданд. Ҳамзамон, Log4j ҳамчун вобастагии мустақими дараҷаи аввал танҳо дар 17% ҳолатҳо истифода мешавад ва дар 83% бастаҳои зарардида, ҳатмӣ тавассути бастаҳои фосилавӣ, ки аз Log4j вобастаанд, амалӣ карда мешавад, яъне. нашъамандии дараҷаи дуюм ва болотар (21% - дараҷаи дуюм, 12% - сеюм, 14% - чорум, 26% - панҷум, 6% - шашум). Суръати ислоҳи осебпазирӣ то ҳол чизи дилхоҳро тарк мекунад; як ҳафта пас аз муайян кардани осебпазирӣ, аз 35863 бастаи муайяншуда, мушкилот то имрӯз танҳо дар 4620 ҳал карда шудааст, яъне. дар 13%.
Дар ҳамин ҳол, Оҷонсии амнияти киберамният ва инфрасохтори ИМА дастури изтирорӣ содир кард, ки аз ниҳодҳои федеролӣ талаб мекунад, ки системаҳои иттилоотие, ки аз осебпазирии Log4j осеб дидаанд ва навсозиҳое насб кунанд, ки то 23 декабр мушкилотро маҳкам мекунанд. Ташкилотхо бояд то 28 декабрь аз кори худ хисобот диханд. Барои содда кардани муайянкунии системаҳои мушкилот рӯйхати маҳсулоте таҳия шудааст, ки осебпазирии худро тасдиқ кардаанд (рӯйхат зиёда аз 23 ҳазор дархостро дар бар мегирад).
Манбаъ: opennet.ru