Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 18 december 2021 | Ämne: Säkerhet
Apache har släppt version 2.17.0 av patchen för Log4j efter att ha upptäckt problem med deras tidigare utgåva, som kom ut på tisdagen.
Apache sa att version 2.16 “inte alltid skyddar mot oändlig rekursion vid uppslagsutvärdering” och förklarade att den är sårbar för CVE-2021-45105, en sårbarhet för överbelastning av tjänster. De sa att svårighetsgraden är “hög” och gav den ett CVSS-poäng på 7,5.
“Apache Log4j2 versionerna 2.0-alpha1 till 2.16.0 skyddade inte från okontrollerad rekursion från självreferensuppslagningar. När loggningskonfigurationen använder en icke-standardmönsterlayout med en kontextsökning (till exempel $${ctx:loginId}) , kan angripare med kontroll över indata från Thread Context Map (MDC) skapa skadlig indata som innehåller en rekursiv uppslagning, vilket resulterar i en StackOverflowError som kommer att avsluta processen. Detta är också känt som en DOS-attack (Denial of Service)”, Apache förklarade.
De tillade att det senaste problemet upptäcktes av Akamai Technologies Hideki Okamoto och en anonym sårbarhetsforskare.
Begränsningar inkluderar tillämpning av 2.17.0-patchen och ersätter kontextsökningar som ${ctx:loginId} eller $${ctx:loginId} med trådkontextmappmönster (%X, %mdc eller %MDC) i PatternLayout i loggningskonfigurationen. Apache föreslog också att man skulle ta bort referenser till kontextsökningar i konfigurationen som ${ctx:loginId} eller $${ctx:loginId} där de kommer från källor som är externa till applikationen som HTTP-rubriker eller användarinmatning.
De noterade att endast Log4j-core JAR-filen påverkas av CVE-2021-45105.
På fredagen började säkerhetsforskare online twittra om potentiella problem med 2.16.0, och några identifierade sårbarheten för överbelastning av tjänster.
Diskussion om Log4j har dominerat samtalet hela veckan. CISA släppte flera råd som kräver att federala civila myndigheter i USA tillämpar patchar före jul medan flera stora teknikföretag som IBM, Cisco och VMware har tävlat för att ta itu med Log4j-sårbarheter i sina produkter.
Säkerhetsföretaget Blumira påstår sig ha hittat en ny Log4j-attackvektor som kan utnyttjas genom sökvägen till en lyssningsserver på en maskin eller ett lokalt nätverk, vilket potentiellt sätter stopp för antagandet att problemet var begränsat till utsatta sårbara servrar.
Andra cybersäkerhetsföretag har upptäckt att stora ransomware-grupper som Conti undersöker sätt att dra fördel av sårbarheten.
Google släppte en säkerhetsrapport på fredagen där Open Source Insights-teammedlemmarna James Wetter och Nicky Ringland sa att de fann att 35 863 av de tillgängliga Java-artefakterna från Maven Central beror på den påverkade Log4j-koden. Det betyder att mer än 8 % av alla paket på Maven Central har minst en version som påverkas av denna sårbarhet, förklarade de två.
“Den genomsnittliga ekosystempåverkan av råd som påverkar Maven Central är 2%, med medianen mindre än 0,1%,” sa Wetter och Ringland.
Hittills har nästan 5 000 artefakter lappats, vilket lämnar över 30 000 fler. Men de två noterade att det kommer att bli svårt att ta itu med problemet på grund av hur djupt Log4j är inbäddat i vissa produkter.
“De flesta artefakter som är beroende av log4j gör det indirekt. Ju djupare sårbarheten är i en beroendekedja, desto fler steg krävs för att den ska fixas. För mer än 80 % av paketen är sårbarheten mer än en nivå djup, med en majoritet påverkade fem nivåer ner (och några så många som nio nivåer ner),” skrev Wetter och Ringland.
“Dessa paket kommer att kräva korrigeringar i alla delar av trädet , med början från de djupaste beroenden först.”
De två fortsatte med att säga att efter att ha tittat på alla offentligt avslöjade kritiska råd som påverkar Maven-paket, hittade de mindre än hälften (48 %) av artefakterna som påverkades av en sårbarheten har åtgärdats, vilket innebär att det kan ta år för Log4j-problemet att lösas.
Säkerhet
Log4j-hot: Vad du behöver veta och hur du skyddar dig själv Ransomware i 2022: Vi är alla skruvade Microsoft Patch Tisdag: Zero-day utnyttjas för att sprida Emotet malware Kronos drabbades av ransomw är, varnar för dataintrång och “flera veckors” avbrott De bästa VPN:erna för små och hembaserade företag 2021 Security TV | Datahantering | CXO | Datacenter