Atualizado para Log4J 2.16? Surpresa, existem dois. 2.17 que resolve

Tudo pronto para o final de semana? Não tão rápido. Ontem, o BleepingComputer resumiu todos os log4j e logback CVE conhecidos até agora.

Desde que a saga do dia zero do log4j começou na semana passada, os especialistas em segurança recomendaram repetidamente a versão 2.16 como a versão mais segura a ser usada.

Hoje, as coisas mudam com a versão 2.17.0, que corrige uma vulnerabilidade de DoS (Denial of Service) de gravidade aparentemente menor, mas "alta" que afeta o log4j 2.16.

E sim, este erro DoS vem com outro identificador: CVE-2021-45105.

índice

  1. Recursão infinita, lançamentos finitos?
  2. log4j 2.17.0 lançado hoje, corrige DoS
  3. Google: mais de 35.000 pacotes Java têm falhas no Log4j

Recursão infinita, lançamentos finitos?

A suspeita de um bug DoS afetando o log4j 2.16.0 surgiu no projeto Apache JIRA cerca de três dias atrás, logo após o 2.15.0 ter sido descoberto como vulnerável a uma vulnerabilidade DoS menor (CVE-2021-45046).

No entanto, como o BleepingComputer informou ontem, o Apache aumentou a gravidade do CVE-2021-45046 de um valor baixo (3,7) para um valor crítico (9,0), depois que novos desvios permitiram a possibilidade de exfiltração de dados por meio dessa ferramenta.

"Se você tentar substituir uma string por qualquer motivo na próxima string, a recursão infinita será acionada e o aplicativo travará", afirma o problema do JIRA, com uma carga útil de PoC:

${${::-${::-$${::-j}}}}

Algumas horas atrás, incluindo pesquisadores de segurança vx-underground E Fantastic Hacker twittou sobre uma possível falha de DoS também afetando a versão 2.16 do log4j:

Nova exploração na sexta-feira, conforme a tradição: os pesquisadores descobriram que o Log4J versão 2.16 é vulnerável a DoS via "${${::-${::-$${::-j}}}}"

Mais informações: https://t.co/pzeWiQEa68

— vx-underground (@vxunderground) 17 de dezembro de 2021

E acontece que depois de discutir o assunto nos últimos três dias, o Apache atribuiu um novo CVE e lançou uma nova versão.

log4j 2.17.0 lançado hoje, corrige DoS

Marcado como CVE-2021-45105 e classificado como "Alto" (7,5) na escala CVSS, a falha de DoS existe como log4j 2,16 "nem sempre protege contra recursão infinita na avaliação de pesquisa".

Embora as pesquisas JNDI estivessem completamente desabilitadas na versão 2.16, as pesquisas de auto-referência ainda eram uma possibilidade sob certas circunstâncias.

"As versões do Apache Log4j2 2.0-alpha1 a 2.16.0 não protegem contra recursão descontrolada de pesquisas autorreferenciais", afirmam as notas de versão vistas pelo BleepingComputer.

"Quando a configuração do registro usa um layout de modelo não padrão com uma pesquisa contextual (por exemplo, « ${dollar} ${dollar} {ctx: loginId} « ), os invasores que têm controle sobre o mapa de contexto do segmento de dados de entrada (MDC) pode criar dados de entrada maliciosos que contêm uma pesquisa recursiva, resultando em um StackOverflowError que mata o processo."

Para corrigir a vulnerabilidade, a versão 2.17.0 do log4j (para Java 8) foi lançada hoje e só permite que "sequências de pesquisa na configuração" sejam expandidas recursivamente. Em qualquer outro uso, apenas a pesquisa de nível superior será resolvida e não as pesquisas aninhadas.

Espera-se que o lançamento atinja o maior repositório de pacotes Java, Maven Central, ainda hoje.

Embora o Apache até agora tenha divulgado oficialmente detalhes sobre a próxima versão 2.17.0, os commits do GitHub vistos pelo BleepingComputer indicam que uma versão 2.12.3 também pode estar a caminho para as versões 2.12.x do branch.

log4j 2.17.0 e 2.12.3 são fornecidos com uma correção para CVE-2021-45105 (toque do computador)

Google: mais de 35.000 pacotes Java têm falhas no Log4j

O desenvolvimento ocorre na mesma época em que a análise do Google revela que mais de 35.000 pacotes Java contêm vulnerabilidades log4j.

"Mais de 35.000 pacotes Java, representando mais de 8% do repositório Maven Central (o maior repositório de pacotes Java), foram afetados pelas vulnerabilidades log4j divulgadas recentemente", explicam James Wetter e Nicky Ringland do Open. Source Insights Team. Google na postagem do blog de ontem.

De acordo com o Google, a grande maioria dos pacotes Java vulneráveis ​​no Maven Central emprestam log4j "indiretamente", o que significa que log4j é uma dependência de uma dependência usada pelo pacote, um conceito também conhecido como dependências transitivas.

Os pacotes Java mais vulneráveis ​​usam 'log4j' como dependências indiretas (Google)

Dos 35.863 pacotes identificados pelo Google, apenas cerca de 7.000 emprestaram diretamente o log4j, indicando que nem todos os desenvolvedores podem ter exposição adequada ao seu software:

“A falta de visibilidade do usuário em suas próprias dependências e dependências transitivas dificultou a correção; também dificultou a determinação do raio total de explosão dessa vulnerabilidade”, explica o Google.

Observando o histórico de vulnerabilidades críticas divulgadas publicamente que afetam os pacotes Maven e o fato de que menos de 48% desses pacotes tiveram uma correção, os pesquisadores do Google esperam "uma longa espera, provavelmente anos" antes dos últimos lançamentos. todos os pacotes Java.

Como o BleepingComputer relatou, os agentes de ameaças estão visando servidores vulneráveis ​​com explorações log4j para enviar malware, com a gangue de ransomware Conti olhando especificamente para servidores VMWare vCenter vulneráveis.

Portanto, as organizações devem atualizar para as versões mais recentes do log4j e continuar monitorando os alertas do Apache para atualizações.

  • Como assinar um streamer do Twitch com o Amazon Prime
  • Como instalar ou desinstalar o navegador Google Chrome

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Qual é a versão mais recente do Log4j?

2.19.0 Log4j

desenvolvedor(es) Fundação de Software Apache
versão estável 2.19.0 / 17 de setembro de 2022
repositório github.com/apache/logging-log4j2
Escrito em Java
sistema operacional plataforma cruzada

Qual versão do Log4j é vulnerável?

Versões do Apache Log4j2 de 2.0-beta7 a 2.17. 0 (excluindo as versões de correção de segurança 2.3.2 e 2.12.4 ) são vulneráveis ​​a um ataque de execução remota de código.

O Log4j 1.2 17 tem vulnerabilidade?

Incluído no Log4j 1.2 está uma classe SocketServer que é vulnerável à desserialização de dados não confiáveis ​​que podem ser explorados para executar remotamente código arbitrário quando combinado com um gadget de desserialização ao ouvir tráfego de rede não confiável para dados de log.

Para que é usado o Apache Log4j?

Apache Log4j é um utilitário de log baseado em Java. A função da biblioteca Java do Log4j é registrar informações que ajudam os aplicativos a funcionar sem problemas, determinar o que está acontecendo e ajudar no processo de depuração quando ocorrem erros . As bibliotecas de log geralmente gravam mensagens no arquivo de log ou em um banco de dados.

Ir arriba