कुछ हफ़्ते पहले, Log4j की सुरक्षा समस्याओं की खबरें नेटवर्क पर कई उपयोगकर्ताओं को उल्टा कर रही थीं और यह उन खामियों में से एक है जिसका सबसे अधिक शोषण किया गया है और जिसे कई विशेषज्ञों ने "लंबे समय में सबसे खतरनाक" करार दिया है, नेटवर्क में ज्ञात की गई कमजोरियों में से हम उनमें से कुछ के बारे में बात करते हैं यहाँ ब्लॉग पर और इस बार हमें एक और की खबर मिली है।
और बात कुछ दिन पहले की है समाचार जारी किया गया था कि Log4j 2 पुस्तकालय में एक और भेद्यता की पहचान की गई थी (जो पहले से ही CVE-2021-45105 के तहत सूचीबद्ध है) और जिसे पिछले दो मुद्दों के विपरीत, खतरनाक के रूप में वर्गीकृत किया गया था, लेकिन महत्वपूर्ण नहीं।
नई समस्या सेवा से इनकार करने की अनुमति देता है और खुद को लूप और असामान्य समाप्ति के रूप में प्रकट करता है कुछ पंक्तियों को संसाधित करते समय।
भेद्यता संदर्भ खोज का उपयोग करने वाले सिस्टम को प्रभावित करता है, जैसे $ {ctx: var}, लॉग आउटपुट स्वरूप निर्धारित करने के लिए।
लास Log4j संस्करण 2.0-alpha1 से 2.16.0 में अनियंत्रित रिकर्सन के खिलाफ सुरक्षा की कमी है, क्या एक हमलावर को प्रतिस्थापन में प्रयुक्त मूल्य में हेरफेर करने की अनुमति दी एक अंतहीन लूप का कारण बनने के लिए जो स्टैक पर जगह से बाहर हो जाएगा और प्रक्रिया को लटका देगा। विशेष रूप से, "$ {$ {:: - $ {:: - $$ {:: - j}}}}" जैसे मानों को प्रतिस्थापित करते समय समस्या उत्पन्न हुई।
इसके अलावा, यह ध्यान दिया जा सकता है कि ब्लूमिरा शोधकर्ताओं ने कमजोर जावा अनुप्रयोगों पर हमले का प्रस्ताव दिया है जो बाहरी नेटवर्क से अनुरोध स्वीकार नहीं करते हैं, उदाहरण के लिए, डेवलपर्स के सिस्टम या जावा एप्लिकेशन के उपयोगकर्ताओं पर इस तरह से हमला किया जा सकता है।
विधि का सार यह है कि यदि कमजोर जावा प्रक्रियाएं हैं उपयोगकर्ता के सिस्टम पर जो केवल स्थानीय होस्ट (लोकलहोस्ट) से नेटवर्क कनेक्शन स्वीकार करता है, या आरएमआई-अनुरोधों को संसाधित करता है (रिमोट मेथड इनवोकेशन, पोर्ट 1099), निष्पादित जावास्क्रिप्ट कोड द्वारा हमला किया जा सकता है जब उपयोगकर्ता ब्राउज़र में एक दुर्भावनापूर्ण पृष्ठ खोलता है। इस तरह के हमले में जावा एप्लिकेशन के नेटवर्क पोर्ट से कनेक्शन स्थापित करने के लिए, वेबसॉकेट एपीआई का उपयोग किया जाता है, जिसमें HTTP अनुरोधों के विपरीत, समान-मूल प्रतिबंध लागू नहीं होते हैं (वेबसॉकेट का उपयोग स्थानीय नेटवर्क पर नेटवर्क पोर्ट को स्कैन करने के लिए भी किया जा सकता है। उपलब्ध नेटवर्क ड्राइवरों को निर्धारित करने के लिए होस्ट)।
Google द्वारा प्रकाशित Log4j के साथ निर्भरता से जुड़े पुस्तकालयों की भेद्यता के मूल्यांकन के परिणाम भी रुचि के हैं। Google के अनुसार, समस्या मावेन सेंट्रल रिपॉजिटरी के सभी पैकेजों के 8% को प्रभावित करती है।
विशेष रूप से, प्रत्यक्ष और अप्रत्यक्ष निर्भरता वाले 35863 Log4j संबंधित जावा पैकेज कमजोरियों के संपर्क में थे। बदले में, Log4j का उपयोग केवल 17% मामलों में पहले स्तर की प्रत्यक्ष निर्भरता के रूप में किया जाता है, और भेद्यता द्वारा कवर किए गए 83% पैकेजों में, बंधन मध्यवर्ती पैकेजों के माध्यम से किया जाता है जो Log4j पर निर्भर करते हैं, अर्थात बताएं। दूसरे और उच्चतम स्तर की निर्भरता (21% - दूसरा स्तर, 12% - तीसरा, 14% - चौथा, 26% - पाँचवाँ, 6% - छठा)।
भेद्यता की मरम्मत की दर अभी भी वांछित होने के लिए बहुत कुछ छोड़ती है, भेद्यता की पहचान के एक सप्ताह बाद, 35863 पैकेजों की पहचान की गई, समस्या अब तक केवल 4620 में, यानी 13% तक तय की गई है।
निर्भरता आवश्यकताओं को अद्यतन करने और पुराने संस्करण बाइंडिंग को Log4j 2 के निश्चित संस्करणों के साथ बदलने के लिए पैकेज में परिवर्तन आवश्यक हैं (जावा पैकेज एक विशिष्ट संस्करण के लिए बाध्यकारी अभ्यास करते हैं, न कि एक खुली सीमा जो नवीनतम संस्करण की स्थापना की अनुमति देती है)।
जावा अनुप्रयोगों में भेद्यता को समाप्त करना इस तथ्य से बाधित है कि कार्यक्रमों में अक्सर वितरण में पुस्तकालयों की एक प्रति शामिल होती है, और यह सिस्टम पैकेज में Log4j 2 संस्करण को अपडेट करने के लिए पर्याप्त नहीं है।
इस बीच, यूएस एजेंसी फॉर इंफ्रास्ट्रक्चर प्रोटेक्शन एंड साइबर सिक्योरिटी ने एक आपातकालीन निर्देश जारी किया जिसमें संघीय एजेंसियों को Log4j भेद्यता से प्रभावित सूचना प्रणालियों की पहचान करने और समस्या को अवरुद्ध करने वाले अपडेट स्थापित करने की आवश्यकता थी। 23 दिसंबर से पहले।
उधर, 28 दिसंबर तक की गाइडलाइन दी गई थी, जिसमें संगठनों को किए गए कार्यों पर रिपोर्ट देने की बाध्यता थी। समस्याग्रस्त प्रणालियों की पहचान को आसान बनाने के लिए, उन उत्पादों की एक सूची तैयार की गई है जिनमें भेद्यता की अभिव्यक्ति की पुष्टि की गई है (सूची में 23 हजार से अधिक आवेदन हैं)।
अंत में, यह उल्लेखनीय है कि Log4j 2.17 में भेद्यता को ठीक किया गया था जो कुछ दिन पहले प्रकाशित हुआ था और जिन उपयोगकर्ताओं के पास अद्यतन अक्षम हैं, उन्हें संबंधित अद्यतन करने की अनुशंसा की जाती है, इस तथ्य के अलावा कि भेद्यता का खतरा इस तथ्य से कम हो जाता है कि समस्या केवल जावा 8 वाले सिस्टम पर ही प्रकट होती है।
Fuente: https://logging.apache.org/