Пре неколико недеља вест о безбедносним проблемима Лог4ј-а преокренула је многе кориснике на мрежи и то је да је то једна од мана која се највише експлоатише и коју су многи стручњаци означили као „најопаснији у дуго времена », Од рањивости које су објављене у мрежи говоримо о некима од њих овде на блогу и овог пута смо пронашли вест другог.
И то је то пре неколико дана објављена је вест да је идентификована још једна рањивост у библиотеци Лог4ј 2 (који је већ наведен под ЦВЕ-2021-45105) и који је, за разлику од претходна два издања, класификован као опасан, али не и критичан.
Нови проблем дозвољава ускраћивање услуге и манифестује се у облику петљи и абнормалних завршетака при обради појединих линија.
Рањивост утиче на системе који користе претрагу контекста, као што је $ {цтк: вар}, да одредите излазни формат дневника.
Тхе Лог4ј верзије 2.0-алпха1 до 2.16.0 нису имале заштиту од неконтролисане рекурзије, Шта дозволио нападачу да манипулише вредношћу која се користи у замени да изазове бескрајну петљу која би остала без простора на стеку и проузроковала да процес виси. Конкретно, проблем је настао приликом замене вредности као што је "$ {$ {:: - $ {:: - $$ {:: - ј}}}}".
Поред тога, Може се приметити да су истраживачи компаније Блумира предложили напад на рањиве Јава апликације који не прихватају захтеве из спољних мрежа, на пример, системи програмера или корисника Јава апликација могу бити нападнути на овај начин.
Суштина методе је да ако постоје рањиви Јава процеси на корисниковом систему који прихвата мрежне везе само са локалног хоста (лоцалхост) или обрађује РМИ-захтеве (ремоте Метход Инвоцатион, порт 1099), напад се може извести извршеним ЈаваСцрипт кодом када корисник отвори злонамерну страницу у претраживачу. За успостављање везе са мрежним портом Јава апликације у таквом нападу користи се ВебСоцкет АПИ, на који се, за разлику од ХТТП захтева, не примењују ограничења истог порекла (ВебСоцкет се такође може користити за скенирање мрежних портова на локалном хост за одређивање доступних мрежних драјвера).
Занимљиви су и резултати процене рањивости библиотека повезаних са зависностима од Лог4ј-а које је објавио Гугл. Према Гоогле-у, проблем утиче на 8% свих пакета у Мавен Централ репозиторијуму.
Конкретно, 35863 Јава пакета везаних за Лог4ј са директним и индиректним зависностима било је изложено рањивости. Заузврат, Лог4ј се као директна зависност првог нивоа користи само у 17% случајева, а у 83% пакета обухваћених рањивости, везивање се врши преко међупакета који зависе од Лог4ј, тј. зависности другог и највишег нивоа (21% - други ниво, 12% - трећи, 14% - четврти, 26% - пети, 6% - шести).
Стопа поправљања рањивости и даље оставља много да се пожели, недељу дана након што је рањивост идентификована, од 35863 идентификована пакета, проблем је до сада отклоњен само у 4620, односно на 13%.
Промене пакета су неопходне да би се ажурирали захтеви зависности и заменили везивања старих верзија фиксним верзијама Лог4ј 2 (Јава пакети практикују везивање за одређену верзију, а не отворени опсег који дозвољава инсталацију најновије верзије).
Отклањање рањивости у Јава апликацијама отежава чињеница да програми често укључују копије библиотека у испоруци, а није довољно ажурирати верзију Лог4ј 2 у системским пакетима.
У међувремену, америчка Агенција за заштиту инфраструктуре и сајбер безбедност издала је хитну директиву која захтева од савезних агенција да идентификују информационе системе на које утиче рањивост Лог4ј и инсталирају ажурирања која блокирају проблем пре 23. децембра.
С друге стране, до 28. децембра дата је смерница у којој су организације имале обавезу да извештавају о обављеном послу. Да би се поједноставила идентификација проблематичних система, припремљена је листа производа код којих је потврђена манифестација рањивости (на листи се налази више од 23 хиљаде апликација).
Коначно, Вреди напоменути да је рањивост исправљена у Лог4ј 2.17 који је објављен пре неколико дана а корисницима којима су ажурирања онемогућена препоручује се да изврше одговарајуће ажурирање, поред чињенице да је опасност од рањивости ублажена чињеницом да се проблем манифестује само на системима са Јавом 8.
izvor: https://logging.apache.org/