그들은 또 다른 취약점 Log4j 2를 식별했으며 위험한 것으로 표시됩니다.

Darkcrizt

4 분

로그4j

몇 주 전, Log4j의 보안 문제에 대한 뉴스는 웹에서 많은 사용자를 뒤집어 놓았으며 가장 많이 악용되는 결함 중 하나이며 많은 전문가가 "오랫동안 가장 위험한"이라고 표시했습니다. », of the 네트워크에 알려진 취약점 중 일부에 대해 이야기했습니다. 여기 블로그에 그리고 이 기회에 우리는 또 다른 소식을 발견했습니다.

그리고 그것은 며칠 전 Log4j 2 라이브러리에서 또 다른 취약점이 발견되었다는 뉴스가 나왔습니다. (CVE-2021-45105에 이미 나열되어 있음) 이전 두 문제와 달리 위험하지만 치명적이지는 않은 것으로 분류되었습니다.

새로운 문제 서비스 거부를 허용하고 루프 및 이상 종료의 형태로 나타납니다. 특정 라인을 처리할 때.

취약점 ${ctx: var}와 같이 컨텍스트 조회를 사용하는 시스템에 영향을 미칩니다., 로그의 출력 형식을 결정합니다.

라스 4-alpha2.0에서 1까지의 Log2.16.0j 버전은 폭주 재귀에 대한 보호 기능이 부족했습니다., 뭐 공격자가 대체에 사용된 값을 조작하도록 허용 스택 공간이 부족하여 프로세스가 중단되는 무한 루프가 발생합니다. 특히, "${${::-${::-$${::-j}}}}"와 같이 값을 치환할 때 문제가 발생하였다.

또한, Blumira 연구원이 취약한 Java 애플리케이션에 대한 공격을 제안했음을 알 수 있습니다. 예를 들어 개발자 시스템이나 Java 애플리케이션 사용자와 같이 외부 네트워크의 요청을 수락하지 않는 시스템은 이러한 방식으로 공격을 받을 수 있습니다.

방법의 본질은 취약한 Java 프로세스가 있는 경우 localhost에서만 네트워크 연결을 수락하거나 RMI 요청(원격 메서드 호출, 포트 1099)을 처리하는 사용자 시스템에서, 공격은 실행된 JavaScript 코드에 의해 수행될 수 있습니다. 사용자가 브라우저에서 악성 페이지를 열 때. 이러한 공격에서 Java 애플리케이션의 네트워크 포트에 대한 연결을 설정하기 위해 HTTP 요청과 달리 동일한 출처 제한이 적용되지 않는 WebSocket API가 사용됩니다(WebSocket을 사용하여 로컬 호스트의 네트워크 포트를 스캔할 수도 있음). 사용 가능한 네트워크 드라이버 확인).

Google에서 게시한 Log4j와의 종속성과 관련된 라이브러리의 취약성을 평가한 결과도 흥미롭습니다. Google에 따르면 이 문제는 Maven Central 저장소에 있는 모든 패키지의 8%에 영향을 미칩니다.

특히 Log35863j 관련 직접 및 간접 종속성이 있는 4개의 Java 패키지가 취약점에 노출되었습니다. 차례로 Log4j는 17%의 경우에만 첫 번째 수준의 직접 종속성으로 사용되며, 취약점에 포함된 패키지의 83%에서는 바인딩이 Log4j에 의존하는 중간 패키지를 통해 이루어집니다. 두 번째 및 최고 수준의 종속성(21% - 두 번째 수준, 12% - 세 번째, 14% - 네 번째, 26% - 다섯 번째, 6% - 여섯 번째).

취약점을 수정하는 속도는 아직 미흡하지만, 취약점이 확인된 지 35863주일이 지난 현재까지 확인된 패키지 4620개 중 문제가 해결된 패키지는 13개, 즉 XNUMX%에 불과합니다.

종속성 요구 사항을 업데이트하고 이전 버전 바인딩을 Log4j 2의 고정 버전으로 교체하려면 패키지 변경이 필요합니다(Java 패키지는 최신 버전 설치를 허용하는 열린 범위가 아니라 특정 버전에 대한 바인딩을 실행함).

Java 응용 프로그램의 취약점 제거는 프로그램이 종종 배달 시 라이브러리 사본을 포함하고 시스템 패키지의 Log4j 2 버전을 업데이트하는 것만으로는 충분하지 않다는 사실로 인해 방해를 받습니다.

한편, 미국 사이버 보안 및 인프라 보호 기관은 4월 23일 이전에 연방 기관이 LogXNUMXj 취약점의 영향을 받는 정보 시스템을 식별하고 문제를 차단하는 업데이트를 설치하도록 요구하는 긴급 지침을 발표했습니다.

한편, 28월 23일까지 기관이 수행한 업무에 대해 보고할 의무가 있다는 지침이 주어졌다. 문제가 있는 시스템의 식별을 단순화하기 위해 취약점의 징후가 확인된 제품 목록이 작성되었습니다(목록에는 XNUMX개 이상의 애플리케이션이 있음).

마지막으로, 며칠 전에 게시된 Log4j 2.17에서 취약점이 수정되었다는 점을 언급할 가치가 있습니다. 업데이트가 비활성화된 사용자는 그에 따라 업데이트하는 것이 좋습니다. 또한 Java 8이 있는 시스템에서만 문제가 나타나므로 취약점의 위험이 완화됩니다.

출처 : https://logging.apache.org/


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.