Jonathan Greig er en journalist basert i New York City.
Full Bio 18. desember 2021 | Emne: Sikkerhet
Apache har gitt ut versjon 2.17.0 av oppdateringen for Log4j etter å ha oppdaget problemer med deres forrige utgivelse, som kom ut tirsdag.
Apache sa at versjon 2.16 “ikke alltid beskytter mot uendelig rekursjon i oppslagsevaluering” og forklarte at den er sårbar for CVE-2021-45105, et tjenestenektsproblem. De sa at alvorlighetsgraden er “høy” og ga den en CVSS-score på 7,5.
“Apache Log4j2 versjoner 2.0-alpha1 til og med 2.16.0 beskyttet ikke mot ukontrollert rekursjon fra selvrefererende oppslag. Når loggingskonfigurasjonen bruker en ikke-standard mønsteroppsett med et kontekstoppslag (for eksempel $${ctx:loginId}) , kan angripere med kontroll over Thread Context Map (MDC) inngangsdata lage ondsinnede inputdata som inneholder et rekursivt oppslag, noe som resulterer i en StackOverflowError som vil avslutte prosessen. Dette er også kjent som et DOS (Denial of Service)-angrep,” Apache forklart.
De la til at det siste problemet ble oppdaget av Akamai Technologies Hideki Okamoto og en anonym sårbarhetsforsker.
Begrensninger inkluderer å bruke 2.17.0-oppdateringen og erstatte kontekstoppslag som ${ctx:loginId} eller $${ctx:loginId} med trådkontekstkartmønstre (%X, %mdc eller %MDC) i PatternLayout i loggkonfigurasjonen. Apache foreslo også å fjerne referanser til kontekstoppslag i konfigurasjonen som ${ctx:loginId} eller $${ctx:loginId} der de stammer fra kilder utenfor applikasjonen som HTTP-hoder eller brukerinndata.
De bemerket at bare Log4j-core JAR-filen er påvirket av CVE-2021-45105.
På fredag begynte sikkerhetsforskere på nettet å tweete om potensielle problemer med 2.16.0, med noen som identifiserte tjenestenekt-sårbarheten.
Diskusjon om Log4j har dominert samtalen hele uken. CISA ga ut flere råd som pålegger føderale sivile byråer i USA å bruke oppdateringer før jul, mens flere store teknologiselskaper som IBM, Cisco og VMware har kjempet for å løse Log4j-sårbarheter i produktene deres.
Sikkerhetsselskapet Blumira hevder å ha funnet en ny Log4j-angrepsvektor som kan utnyttes gjennom banen til en lyttende server på en maskin eller lokalt nettverk, noe som potensielt setter en stopper for antakelsen om at problemet var begrenset til utsatte sårbare servere.
Andre cybersikkerhetsfirmaer har funnet ut at store løsepengevaregrupper som Conti utforsker måter å dra nytte av sårbarheten.
Google ga ut en sikkerhetsrapport på fredag der Open Source Insights-teammedlemmene James Wetter og Nicky Ringland sa at de fant at 35 863 av de tilgjengelige Java-artefaktene fra Maven Central avhenger av den berørte Log4j-koden. Dette betyr at mer enn 8 % av alle pakkene på Maven Central har minst én versjon som er påvirket av dette sikkerhetsproblemet, forklarte de to.
“Den gjennomsnittlige økosystempåvirkningen av råd som påvirker Maven Central er 2%, med medianen mindre enn 0,1%,” sa Wetter og Ringland.
Så langt har nesten 5000 gjenstander blitt lappet, noe som etterlater mer enn 30 000 flere. Men de to bemerket at det vil være vanskelig å løse problemet på grunn av hvor dypt Log4j er innebygd i enkelte produkter.
“De fleste artefakter som er avhengige av log4j gjør det indirekte. Jo dypere sårbarheten er i en avhengighetskjede, jo flere trinn kreves for at den skal fikses. For mer enn 80 % av pakkene er sårbarheten mer enn ett nivå dyp, med et flertall berørt fem nivåer ned (og noen så mange som ni nivåer ned),» skrev Wetter og Ringland.
»Disse pakkene vil kreve reparasjoner i alle deler av treet , med utgangspunkt i de dypeste avhengighetene først.”
De to fortsatte med å si at etter å ha sett på alle offentlig avslørte kritiske råd som påvirker Maven-pakker, fant de mindre enn halvparten (48 %) av artefaktene påvirket av en sårbarheten er løst, noe som betyr at det kan ta år før Log4j-problemet er løst.
Sikkerhet
Log4j-trussel: Hva du trenger å vite og hvordan du beskytter deg selv Ransomware i 2022: Vi er alle skrudd Microsoft Patch Tuesday: Zero-day utnyttet for å spre Emotet malware Kronos rammet med løsepenger er, advarer om datainnbrudd og “flere ukers” utfall De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Security TV | Databehandling | CXO | Datasentre