انتشار آپدیت وصله امنیتی سوم برای رفع نقص آسیب پذیری جدید Log4j
درحالیکه کارشناسان هشدار میدادند که عوامل تهدید فعالانه تلاش میکنند تا از آسیبپذیری دوم، بانام CVE-2021-45046 که در کتابخانه Log4j ردیابی میشود، بهرهبرداری کنند، آسیبپذیری امنیتی سومی که در کتابخانه Log4j فاش شد.
به گزارش سیتنا، نقصهای متعدد در کتابخانه Log4J سازمانها را در سرتاسر جهان میترساند درحالیکه عوامل تهدید در حال سوءاستفاده از آنها هستند. 2.17 سومین اصلاحیه صادرشده در یک هفته است. بیایید جدول زمانی آسیبپذیریهای log4J را تحلیل کنیم.
اولین آسیبپذیری که بانام CVE-2021-44228 معروف به Log4Shell ردیابی میشود، هفته گذشته پسازاینکه محقق امنیتی چینی p0rz9 یک سوءاستفاده اثبات مفهومی از آن را بهصورت عمومی فاش کرد، به سرفصل اخبار تبدیل شد. مشکل یک آسیبپذیری حیاتی اجرای کد از راه دور در روز صفر است که بر کتابخانه لاگ مبتنی بر جاوا Apache Log4j تأثیر میگذارد. تأثیر این موضوع ویرانگر است، هزاران سازمان در سراسر جهان بهطور بالقوه در معرض حملات قرار دارند.
بنیاد نرمافزار آپاچی (ASF) بهسرعت یک وصله نسخه (Log4J 2.15.0) برای آسیبپذیری Log4Shell (CVE-2021-44228) منتشر کرد، اما این اصلاح تا حدی نقص در پیکربندیهای غیر پیشفرض خاص را برطرف کرد. هنگامیکه پیکربندی گزارشگیری از یک طرحبندی الگوی غیر پیشفرض با جستجوی زمینه مثلاً $${ctx:loginId}) یا یک الگوی نقشه زمینه موضوع (%X) استفاده میکند، مهاجمی که بر روی نقشه زمینه رشته MDC کنترل دارد.، %mdc یا %MDC میتوانند دادههای ورودی مخرب را با استفاده از الگوی جستجوی JNDI ایجاد کنند که شرایط انکار سرویس(DOS) را ایجاد میکند.
هر دو مشکل با انتشار نسخه Log4j 2.16.0 برطرف شد که CVE-2021-45046 را با حذف پشتیبانی از الگوهای جستجوی و غیرفعال کردن عملکرد JNDI بهطور پیشفرض، رفع کرد.
در CVE-2021-44228، دومین Log4J CVE CVE-2021-45046 ثبتشده است. قوانینی که قبلاً برای CVE-2021-44228 منتشر کردیم، همان سطح محافظت را برای این CVE جدید ارائه میدهد. CloudFlare میگوید. این آسیبپذیری بهطور فعال در حال سوءاستفاده است و هرکسی که از Log4J استفاده میکند باید در اسرع وقت به نسخه 2.16.0 بهروز شود، حتی اگر قبلاً به 2.15.0 بهروز کرده باشید.
آخرین نسخه را میتوانید در صفحه دانلود Log4J پیدا کنید.
اما خبر بد پایانی نداشت، زیرا محققان شرکت امنیتی Praetorian نسبت به آسیبپذیری امنیتی سوم Log4j نسخه 2.15.0 هشدار دادند که برای تعمیر Log4Shell اولیه منتشر شد.
این سومین آسیبپذیری میتواند توسط مهاجمان برای استخراج دادههای حساس در شرایط خاص مورد سوءاستفاده قرار گیرد.
بااینحال، ما در تحقیقات خود نشان دادهایم که 2.15.0 همچنان میتواند در شرایط خاص اجازه استخراج دادههای حساس را بدهد. ما جزئیات فنی این مشکل را به بنیاد آپاچی منتقل کردهایم، اما در این میان،
اکیداً توصیه میکنیم که مشتریان در اسرع وقت به نسخه 2.16.0 ارتقا دهند. پست منتشرشده توسط Pretorian را بیان میکند.
بنیاد نرمافزار آپاچی (ASF) مجبور شد نسخه سوم را در عرض یک هفته (نسخه 2.17.0) منتشر کند تا آسیبپذیری انکار سرویس (DoS) با شدت بالا در log4j 2.16 که بهعنوان CVE-2021-45105 ردیابی شده بود را برطرف کند. CVE-2021-45046، ابتدا بهعنوان کم شدت (3.7) رتبهبندی شده بود، اما دیروز سطح شدت آن توسط بنیاد نرمافزار Apache بهشدت بحرانی (9.0) افزایش یافت زیرا کارشناسان روش جدیدی برای دور زدن اصلاح دوم پیدا کردند که توسط بنیاد منتشر شد.
آسیبپذیری CVE-2021-45105 امتیاز CVSS 7.5 را دریافت کرد، اینیک نقص DoS است که بر log4j 2.16 تأثیر میگذارد. کارشناسان خاطرنشان کردند که حتی اگر جستجوهای JNDI در نسخه 2.16 غیرفعال شده باشد، جستجوهای خود ارجاعی تحت شرایط خاص همچنان امکانپذیر است.
در مشاوره منتشرشده توسط ASF آمده است: نسخههای Apache Log4j2 2.0-alpha1 تا 2.16.0 از بازگشت کنترل نشده از جستجوهای خود ارجاعی محافظت نمیکنند. هنگامیکه پیکربندی گزارش از یک طرحبندی الگوی غیر پیشفرض با جستجوی زمینه استفاده میکند بهعنوانمثال، $${ctx:loginId})، مهاجمان با کنترل دادههای ورودی Thread Context Map (MDC) میتوانند دادههای ورودی مخربی را ایجاد کنند که حاوی یک بازگشتی باشد. جستجو، منجر به خطای StackOverflow میشود که فرآیند را خاتمه میدهد.
Apache Log4j2 نسخههای 2.0-alpha1 تا 2.16.0 (بهاستثنای 2.12.3) از بازگشت کنترل نشده از جستجوهای خود ارجاعی محافظت نمیکند. این اجازه میدهد تا مهاجمی که بر رویدادههای نقشه زمینه موضوعی کنترل دارد، هنگام تفسیر یکرشته دستکاریشده، سرویس را انکار کند. این مشکل در Log4j 2.17.0 و 2.12.3 برطرف شد. بنیاد نرمافزار آپاچی (ASF) نقص CVE-2021-45105 را با انتشار log4j نسخه 2.17.0 (برای جاوا 8) برطرف کرد.
انتهای پیام
افزودن دیدگاه جدید