Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 18. december 2021 | Emne: Sikkerhed
Apache har frigivet version 2.17.0 af patchen til Log4j efter at have opdaget problemer med deres tidligere udgivelse, som udkom tirsdag.
Apache sagde, at version 2.16 “ikke altid beskytter mod uendelig rekursion i opslagsevaluering” og forklarede, at den er sårbar over for CVE-2021-45105, en lammelsesangrebssårbarhed. De sagde, at sværhedsgraden er “høj” og gav den en CVSS-score på 7,5.
“Apache Log4j2 versioner 2.0-alpha1 til og med 2.16.0 beskyttede ikke mod ukontrolleret rekursion fra selvrefererende opslag. Når logningskonfigurationen bruger et ikke-standardmønsterlayout med et kontekstopslag (f.eks. $${ctx:loginId}) , kan angribere med kontrol over Thread Context Map (MDC) inputdata lave ondsindede inputdata, der indeholder et rekursivt opslag, hvilket resulterer i en StackOverflowError, der vil afslutte processen. Dette er også kendt som et DOS (Denial of Service) angreb,” Apache forklaret.
De tilføjede, at det seneste problem blev opdaget af Akamai Technologies' Hideki Okamoto og en anonym sårbarhedsforsker.
Afhjælpning omfatter anvendelse af 2.17.0-patchen og udskiftning af kontekstopslag som ${ctx:loginId} eller $${ctx:loginId} med trådkontekstkortmønstre (%X, %mdc eller %MDC) i PatternLayout i logningskonfigurationen. Apache foreslog også at fjerne referencer til kontekstopslag i konfigurationen som ${ctx:loginId} eller $${ctx:loginId}, hvor de stammer fra kilder uden for applikationen, såsom HTTP-headere eller brugerinput.
De bemærkede, at kun Log4j-core JAR-filen er påvirket af CVE-2021-45105.
I fredags begyndte sikkerhedsforskere online at tweete om potentielle problemer med 2.16.0, hvor nogle identificerede lammelsesangrebet.
Diskussion om Log4j har domineret samtalen hele ugen. CISA har udgivet adskillige meddelelser, der pålægger føderale civile agenturer i USA at anvende patches inden jul, mens flere store teknologivirksomheder som IBM, Cisco og VMware har løbet for at løse Log4j-sårbarhederne i deres produkter.
Sikkerhedsfirmaet Blumira hævder at have fundet en ny Log4j-angrebsvektor som kan udnyttes gennem stien til en lytteserver på en maskine eller lokalt netværk, hvilket potentielt sætter en stopper for antagelsen om, at problemet var begrænset til udsatte sårbare servere.
Andre cybersikkerhedsfirmaer har fundet ud af, at store ransomware-grupper som Conti udforsker måder at drage fordel af sårbarheden på.
Google udgav en sikkerhedsrapport i fredags, hvor Open Source Insights Team-medlemmer James Wetter og Nicky Ringland sagde, at de fandt ud af, at 35.863 af de tilgængelige Java-artefakter fra Maven Central afhænger af den berørte Log4j-kode. Det betyder, at mere end 8% af alle pakker på Maven Central har mindst én version, der er påvirket af denne sårbarhed, forklarede de to.
“Den gennemsnitlige økosystempåvirkning af råd, der påvirker Maven Central, er 2%, med medianen på mindre end 0,1%,” sagde Wetter og Ringland.
Hidtil er næsten 5.000 artefakter blevet lappet, hvilket efterlader mere end 30.000 flere. Men de to bemærkede, at det vil være svært at løse problemet på grund af, hvor dybt Log4j er indlejret i nogle produkter.
“De fleste artefakter, der er afhængige af log4j, gør det indirekte. Jo dybere sårbarheden er i en afhængighedskæde, jo flere trin kræves der for, at den kan rettes. For mere end 80 % af pakkerne er sårbarheden mere end ét niveau dyb, med et flertal påvirket fem niveauer ned (og nogle så mange som ni niveauer ned),” skrev Wetter og Ringland.
“Disse pakker vil kræve rettelser i alle dele af træet , begyndende fra de dybeste afhængigheder først.”
De to fortsatte med at sige, at efter at have set på alle offentligt offentliggjorte kritiske meddelelser, der påvirker Maven-pakker, fandt de mindre end halvdelen (48 %) af artefakterne påvirket af en sårbarhed er blevet rettet, hvilket betyder, at det kan tage år, før Log4j-problemet er løst.
Sikkerhed
Log4j-trussel: Hvad du behøver at vide, og hvordan du beskytter dig selv Ransomware i 2022: Vi er alle sammen skruet Microsoft Patch Tuesday: Zero-day udnyttet til at sprede Emotet malware Kronos ramt med løsesumw er, advarer om databrud og 'flere ugers' udfald De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Security TV | Datastyring | CXO | Datacentre