数週間前、Log4jのセキュリティ問題のニュースは、ネットワーク上の多くのユーザーをひっくり返していました。これは、最も悪用された欠陥のXNUMXつであり、多くの専門家が「長い間»、ネットワークで知らされた脆弱性のうち、いくつかについて話します ここのブログで そして今回は別のニュースを見つけました。
そしてそれは数日前のことです Log4j2ライブラリで別の脆弱性が特定されたというニュースがリリースされました (これはすでにCVE-2021-45105にリストされています)、前のXNUMXつの問題とは異なり、危険として分類されましたが、重大ではありません。
新しい問題 サービス拒否を許可し、ループや異常終了の形で現れます 特定の行を処理するとき。
脆弱性 $ {ctx:var}などのコンテキスト検索を使用するシステムに影響します、ログ出力形式を決定します。
ラス Log4jバージョン2.0-alpha1から2.16.0には、制御されていない再帰に対する保護がありませんでした、 何 攻撃者が置換に使用される値を操作できるようにしました スタック上のスペースが不足し、プロセスがハングする無限ループが発生します。 特に、「$ {$ {::-$ {::-$$ {:: --j}}}}」などの値を代入すると、問題が発生しました。
さらに、 Blumiraの研究者が脆弱なJavaアプリケーションへの攻撃を提案していることに注意してください。 たとえば、Javaアプリケーションの開発者やユーザーのシステムは、この方法で攻撃される可能性があります。
この方法の本質は、脆弱なJavaプロセスがある場合です。 ローカルホスト(localhost)からのネットワーク接続のみを受け入れる、またはRMI要求(リモートメソッド呼び出し、ポート1099)を処理するユーザーのシステムで、 攻撃は実行されたJavaScriptコードによって実行できます ユーザーがブラウザで悪意のあるページを開いたとき。 このような攻撃でJavaアプリケーションのネットワークポートへの接続を確立するために、WebSocket APIが使用されます。これには、HTTP要求とは異なり、同じ発信元の制限は適用されません(WebSocketを使用して、ローカルのネットワークポートをスキャンすることもできます)。利用可能なネットワークドライバを決定するためのホスト)。
Googleが公開しているLog4jとの依存関係に関連するライブラリの脆弱性を評価した結果も興味深いものです。 Googleによると、この問題はMaven Centralリポジトリ内のすべてのパッケージの8%に影響を及ぼします。
特に、直接および間接の依存関係を持つ35863個のLog4j関連のJavaパッケージが脆弱性にさらされていました。 同様に、Log4jは、17%のケースでのみ第83レベルの直接依存関係として使用され、脆弱性の対象となるパッケージの4%で、Log21jに依存する中間パッケージを介してバインドが行われます。 12番目と最高レベルの依存関係(14%-26番目のレベル、6%-XNUMX番目、XNUMX%-XNUMX番目、XNUMX%-XNUMX番目、XNUMX%-XNUMX番目)。
脆弱性が特定されてから35863週間後、特定された4620個のパッケージのうち、これまでのところ13個、つまりXNUMX%でしか問題が修正されていないため、脆弱性の修復率にはまだ多くの要望があります。
依存関係の要件を更新し、古いバージョンのバインディングを固定バージョンのLog4j 2に置き換えるには、パッケージの変更が必要です(Javaパッケージは、特定のバージョンへのバインディングを実行し、最新バージョンのインストールを可能にするオープンレンジではありません)。
Javaアプリケーションの脆弱性を排除することは、プログラムにライブラリのコピーが配信されていることが多く、システムパッケージのLog4j2バージョンを更新するだけでは不十分であるという事実によって妨げられています。
一方、米国インフラストラクチャ保護およびサイバーセキュリティ機関は、連邦政府機関に対し、Log4jの脆弱性の影響を受ける情報システムを特定し、問題をブロックする更新プログラムをインストールするよう求める緊急指令を発行しました。23月XNUMX日までに。
一方、ガイドラインは28月23日まで与えられ、組織は実施された作業について報告する義務がありました。 問題のあるシステムの特定を簡素化するために、脆弱性の兆候が確認された製品のリストが作成されています(リストにはXNUMXを超えるアプリケーションがあります)。
最後に、 数日前に公開されたLog4j2.17で脆弱性が修正されたことは言及する価値があります また、更新を無効にしているユーザーは、Java 8を搭載したシステムでのみ問題が発生するという事実によって脆弱性の危険性が軽減されることに加えて、対応する更新を実行することをお勧めします。
出典 https://logging.apache.org/