انتشار آپدیت وصله امنیتی سوم برای رفع نقص آسیب پذیری جدید Log4j

به گزارش سیتنا، نقص‌های متعدد در کتابخانه Log4J سازمان‌ها را در سرتاسر جهان می‌ترساند درحالی‌که عوامل تهدید در حال سوءاستفاده از آن‌ها هستند. 2.17 سومین اصلاحیه صادرشده در یک هفته است. بیایید جدول زمانی آسیب‌پذیری‌های log4J را تحلیل کنیم.

اولین آسیب‌پذیری که بانام CVE-2021-44228 معروف به Log4Shell ردیابی می‌شود، هفته گذشته پس‌ازاینکه محقق امنیتی چینی p0rz9 یک سوءاستفاده اثبات مفهومی از آن را به‌صورت عمومی فاش کرد، به سرفصل اخبار تبدیل شد. مشکل یک آسیب‌پذیری حیاتی اجرای کد از راه دور در روز صفر است که بر کتابخانه لاگ مبتنی بر جاوا Apache Log4j تأثیر می‌گذارد. تأثیر این موضوع ویرانگر است، هزاران سازمان در سراسر جهان به‌طور بالقوه در معرض حملات قرار دارند.

بنیاد نرم‌افزار آپاچی (ASF) به‌سرعت یک وصله نسخه (Log4J 2.15.0) برای آسیب‌پذیری Log4Shell ‪(CVE-2021-44228)‬ منتشر کرد، اما این اصلاح تا حدی نقص در پیکربندی‌های غیر پیش‌فرض خاص را برطرف کرد. هنگامی‌که پیکربندی گزارش‌گیری از یک طرح‌بندی الگوی غیر پیش‌فرض با جستجوی زمینه مثلاً $${ctx:loginId}) یا یک الگوی نقشه زمینه موضوع (%X) استفاده می‌کند، مهاجمی که بر روی نقشه زمینه رشته MDC کنترل دارد.، %mdc یا %MDC می‌توانند داده‌های ورودی مخرب را با استفاده از الگوی جستجوی JNDI ایجاد کنند که شرایط انکار سرویس(DOS) را ایجاد می‌کند.

هر دو مشکل با انتشار نسخه Log4j 2.16.0 برطرف شد که CVE-2021-45046 را با حذف پشتیبانی از الگوهای جستجوی و غیرفعال کردن عملکرد JNDI به‌طور پیش‌فرض، رفع کرد.

در CVE-2021-44228، دومین Log4J CVE CVE-2021-45046 ثبت‌شده است. قوانینی که قبلاً برای CVE-2021-44228 منتشر کردیم، همان سطح محافظت را برای این CVE جدید ارائه می‌دهد. CloudFlare می‌گوید. این آسیب‌پذیری به‌طور فعال در حال سوءاستفاده است و هرکسی که از Log4J استفاده می‌کند باید در اسرع وقت به نسخه 2.16.0 به‌روز شود، حتی اگر قبلاً به 2.15.0 به‌روز کرده باشید.

آخرین نسخه را می‌توانید در صفحه دانلود Log4J پیدا کنید.

اما خبر بد پایانی نداشت، زیرا محققان شرکت امنیتی Praetorian نسبت به آسیب‌پذیری امنیتی سوم Log4j نسخه 2.15.0 هشدار دادند که برای تعمیر Log4Shell اولیه منتشر شد.

این سومین آسیب‌پذیری می‌تواند توسط مهاجمان برای استخراج داده‌های حساس در شرایط خاص مورد سوءاستفاده قرار گیرد.

بااین‌حال، ما در تحقیقات خود نشان داده‌ایم که 2.15.0 همچنان می‌تواند در شرایط خاص اجازه استخراج داده‌های حساس را بدهد. ما جزئیات فنی این مشکل را به بنیاد آپاچی منتقل کرده‌ایم، اما در این میان،

اکیداً توصیه می‌کنیم که مشتریان در اسرع وقت به نسخه 2.16.0 ارتقا دهند. پست منتشرشده توسط Pretorian را بیان می‌کند.

بنیاد نرم‌افزار آپاچی (ASF) مجبور شد نسخه سوم را در عرض یک هفته (نسخه 2.17.0) منتشر کند تا آسیب‌پذیری انکار سرویس (DoS) با شدت بالا در log4j 2.16 که به‌عنوان CVE-2021-45105 ردیابی شده بود را برطرف کند. CVE-2021-45046، ابتدا به‌عنوان کم شدت (3.7) رتبه‌بندی شده بود، اما دیروز سطح شدت آن توسط بنیاد نرم‌افزار Apache به‌شدت بحرانی (9.0) افزایش یافت زیرا کارشناسان روش جدیدی برای دور زدن اصلاح دوم پیدا کردند که توسط بنیاد منتشر شد.

آسیب‌پذیری CVE-2021-45105 امتیاز CVSS 7.5 را دریافت کرد، این‌یک نقص DoS است که بر log4j 2.16 تأثیر می‌گذارد. کارشناسان خاطرنشان کردند که حتی اگر جستجوهای JNDI در نسخه 2.16 غیرفعال شده باشد، جستجوهای خود ارجاعی تحت شرایط خاص همچنان امکان‌پذیر است.

در مشاوره منتشرشده توسط ASF آمده است: نسخه‌های Apache Log4j2 2.0-alpha1 تا 2.16.0 از بازگشت کنترل نشده از جستجوهای خود ارجاعی محافظت نمی‌کنند. هنگامی‌که پیکربندی گزارش از یک طرح‌بندی الگوی غیر پیش‌فرض با جستجوی زمینه استفاده می‌کند به‌عنوان‌مثال، $${ctx:loginId})، مهاجمان با کنترل داده‌های ورودی Thread Context Map ‪(MDC)‬ می‌توانند داده‌های ورودی مخربی را ایجاد کنند که حاوی یک بازگشتی باشد. جستجو، منجر به خطای StackOverflow می‌شود که فرآیند را خاتمه می‌دهد.

Apache Log4j2 نسخه‌های 2.0-alpha1 تا 2.16.0 (به‌استثنای 2.12.3) از بازگشت کنترل نشده از جستجوهای خود ارجاعی محافظت نمی‌کند. این اجازه می‌دهد تا مهاجمی که بر روی‌داده‌های نقشه زمینه موضوعی کنترل دارد، هنگام تفسیر یک‌رشته دستکاری‌شده، سرویس را انکار کند. این مشکل در Log4j 2.17.0 و 2.12.3 برطرف شد. بنیاد نرم‌افزار آپاچی (ASF) نقص CVE-2021-45105 را با انتشار log4j نسخه 2.17.0 (برای جاوا 8) برطرف کرد.

انتهای پیام