Patch Log4j přinesl novou chybu vzdáleného spuštění kódu
Zpět na blogApache vydal další patch pro dnes již nechvalně známý nástroj Log4j, který opravuje nové zranitelnosti umožňující vzdálené spuštění kódu.
Tento logovací nástroj byl po většinu prosince středem pozornosti bezpečnostní komunity poté, co byla objevena závažná zranitelnost, která umožňovala záškodníkům s velmi omezenými znalostmi vzdáleně spouštět skripty. Zranitelnost Log4j, sledovaná jako CVE-2021-44228, dostala přezdívku Log4Shell. Umožňovala útočníkům vzdáleně spustit prakticky jakýkoliv kód a vzhledem k širokému využití Log4j se rychle stala noční můrou pro korporace a vládní organizace po celém světě.
Tato chyba byla naštěstí opravena, ale novější verze přišla s vlastními chybami, i když ne tak nebezpečnými jako byla ta původní. Brzy po opravě této zranitelnosti byl objeven další problém.
Nejnovější zranitelnost je klasifikována jako chyba vzdáleného spuštění kódu a vyplývá z absence dodatečných kontrol přístupu k JDNI v Log4j. Jak uvádí server BleepingComputer, chyba je hodnocena jako „středně závažná“ a podle systému CVSS (Common Vulnerability Scoring System) jí bylo přiděleno skóre 6,6/10. „JDBC Appender by měl při přístupu k JNDI používat JndiManager. Přístup k JNDI by měl být řízen pomocí systémové vlastnosti,“ vysvětluje popis chyby.
Zranitelnost je sledována jako CVE-2021-44832 a týká se všech verzí knihovny pro protokolování od verze 2.0-alpha7 do 2.17.0 s výjimkou verzí 2.3.2 a 2.12.4. Zatímco verze 1.x knihovny Log4j nejsou ovlivněny, uživatelům se doporučuje aktualizovat na verzi Log4j 2.3.2 (pro Javu 6), 2.12.4 (pro Javu 7) nebo 2.17.1 (pro Javu 8 a novější).
„Apache Log4j2 verzí 2.0-beta7 až 2.17.0 (kromě verzí 2.3.2 a 2.12.4 s opravou zabezpečení) je zranitelný vůči útoku na vzdálené spuštění kódu (RCE), při kterém může útočník s oprávněním měnit konfigurační soubor logování sestavit škodlivou konfiguraci pomocí JDBC Appenderu se zdrojem dat odkazujícím na JNDI URI, která může spustit vzdálený kód,“ uvedla společnost Apache Software Foundation v poradním dokumentu. Tento problém je opraven omezením názvů zdrojů dat JNDI na protokol Java ve verzích Log4j2 2.17.1, 2.12.4 a 2.3.2.
S nejnovější opravou vyvstaly celkem čtyři problémy v Log4j od doby, kdy se chyba Log4Shell objevila na začátku prosince, nemluvě o páté zranitelnosti postihující verze Log4j 1.2:
– CVE-2021-44228 (skóre CVSS: 10.0) – zranitelnost vzdáleného spuštění kódu ovlivňující verze Log4j od 2.0-beta9 do 2.14.1 (opraveno ve verzi 2.15.0).
– CVE-2021-45046 (CVSS skóre: 9.0) – Zranitelnost spočívající v úniku informací a vzdáleném spuštění kódu, která postihuje verze Log4j od 2.0-beta9 do 2.15.0 s výjimkou verze 2.12.2 (opraveno ve verzi 2.16.0).
– CVE-2021-45105 (CVSS skóre: 7,5) – Zranitelnost typu odepření služby, která se týká verzí Log4j od 2.0-beta9 do 2.16.0 (opraveno ve verzi 2.17.0).
– CVE-2021-4104 (CVSS skóre: 8.1) – Nedůvěryhodná deserializační chyba postihující Log4j verze 1.2 (oprava není k dispozici; upgrade na verzi 2.17.1).
Zdroj: Techradar, The Hacker News
4. 1. 2022