Log4j 2 kutubxonasida (CVE-2021-45105) yana bir zaiflik aniqlandi, bu avvalgi ikkita muammodan farqli o'laroq, xavfli deb tasniflanadi, ammo muhim emas. Yangi muammo sizga xizmat ko'rsatishni rad etishga imkon beradi va ma'lum chiziqlarni qayta ishlashda o'zini looplar va buzilishlar shaklida namoyon qiladi. Zaiflik bir necha soat oldin chiqarilgan Log4j 2.17 versiyasida tuzatilgan. Zaiflikning xavfi muammo faqat Java 8-ga ega tizimlarda paydo bo'lishi bilan kamayadi.
Zaiflik jurnal chiqishi formatini aniqlash uchun ${ctx:var} kabi kontekstli so'rovlardan (kontekst qidirish) foydalanadigan tizimlarga ta'sir qiladi. 4-alpha2.0 dan 1 gacha boʻlgan Log2.16.0j versiyalarida nazoratsiz rekursiyadan himoya yoʻq edi, bu esa tajovuzkorga almashtirishda qoʻllanilgan qiymatni manipulyatsiya qilish imkonini berib, tsiklni keltirib chiqardi, bu esa stek maydonining tugashiga va halokatga olib keldi. Xususan, "${${::-${::-$${::-j}}}}" kabi qiymatlarni almashtirishda muammo yuzaga keldi.
Bundan tashqari, shuni ta'kidlash mumkinki, Blumira tadqiqotchilari tashqi tarmoq so'rovlarini qabul qilmaydigan zaif Java ilovalariga hujum qilish variantini taklif qilishdi, masalan, Java dasturlarini ishlab chiquvchilar yoki foydalanuvchilari tizimlari shu tarzda hujumga uchragan bo'lishi mumkin. Usulning mohiyati shundaki, agar foydalanuvchi tizimida tarmoq ulanishlarini faqat mahalliy xostdan qabul qiladigan yoki RMI so'rovlarini (Remote Method Invocation, port 1099) qayta ishlovchi zaif Java jarayonlari mavjud bo'lsa, hujum bajarilgan JavaScript kodi orqali amalga oshirilishi mumkin. foydalanuvchilar o'z brauzerida zararli sahifani ochganda. Bunday hujum paytida Java ilovasining tarmoq portiga ulanishni o'rnatish uchun WebSocket API ishlatiladi, unga HTTP so'rovlaridan farqli o'laroq, bir xil kelib chiqish cheklovlari qo'llanilmaydi (WebSocket mahalliy tarmoq portlarini skanerlash uchun ham ishlatilishi mumkin). mavjud tarmoq ishlov beruvchilarini aniqlash uchun xost).
Log4j bog'liqliklari bilan bog'liq kutubxonalarning zaifligini baholash bo'yicha Google tomonidan e'lon qilingan natijalar ham qiziqish uyg'otadi. Google ma'lumotlariga ko'ra, muammo Maven Central omboridagi barcha paketlarning 8 foiziga ta'sir qiladi. Xususan, to'g'ridan-to'g'ri va bilvosita bog'liqliklar orqali Log35863j bilan bog'langan 4 4 Java paketlari zaifliklarga duchor bo'ldi. Shu bilan birga, Log17j to'g'ridan-to'g'ri birinchi darajali bog'liqlik sifatida faqat 83% hollarda qo'llaniladi va ta'sirlangan paketlarning 4% da bog'lash Log21j ga bog'liq bo'lgan oraliq paketlar orqali amalga oshiriladi, ya'ni. ikkinchi va undan yuqori darajadagi giyohvandlik (12% - ikkinchi daraja, 14% - uchinchi, 26% - to'rtinchi, 6% - beshinchi, 35863% - oltinchi). Zaiflikni tuzatish sur'ati hali ham ko'p narsani xohlamaydi; zaiflik aniqlanganidan bir hafta o'tgach, aniqlangan 4620 13 ta paketdan muammo hozirgacha faqat XNUMX XNUMX tasida tuzatilgan, ya'ni. XNUMX% da.
Shu bilan birga, AQSh Kiberxavfsizlik va infratuzilmani himoya qilish agentligi federal idoralardan Log4j zaifligidan ta'sirlangan axborot tizimlarini aniqlashni va 23 dekabrgacha muammoni bloklaydigan yangilanishlarni o'rnatishni talab qiluvchi favqulodda buyruq chiqardi. 28-dekabrga qadar tashkilotlar o‘z ishlari bo‘yicha hisobot berishlari shart. Muammoli tizimlarni aniqlashni soddalashtirish uchun zaif tomonlari borligi tasdiqlangan mahsulotlar roʻyxati tayyorlandi (roʻyxat 23 mingdan ortiq ilovalarni oʻz ichiga oladi).
Manba: opennet.ru