अपाचे ने सेवा अस्वीकरण भेद्यता को हल करने के लिए Log4j के लिए नया 2.17.0 पैच जारी किया

अमरीका की एक मूल जनजाति संस्करण 2.17.0 जारी किया है अपनी पिछली रिलीज़ के साथ समस्याओं का पता लगाने के बाद Log4j के लिए पैच का, जो मंगलवार को बाहर आया.

अपाचे ने कहा कि संस्करण 2.16 "हमेशा लुकअप मूल्यांकन में अनंत रिकर्सन से रक्षा नहीं करता है" और समझाया कि यह असुरक्षित है सीवीई-2021-45105, सेवा असुरक्षा का खंडन। उन्होंने कहा कि गंभीरता "उच्च" है और इसे 7.5 का सीवीएसएस स्कोर दिया गया है।

"Apache Log4j2 संस्करण 2.0-अल्फा1 से 2.16.0 तक स्व-संदर्भित लुकअप से अनियंत्रित रिकर्सन से रक्षा नहीं करता था। जब लॉगिंग कॉन्फ़िगरेशन कॉन्टेक्स्ट लुकअप (उदाहरण के लिए, $${ctx: loginId}) के साथ एक गैर-डिफ़ॉल्ट पैटर्न लेआउट का उपयोग करता है, तो थ्रेड पर नियंत्रण रखने वाले हमलावर संदर्भ मानचित्र (एमडीसी) इनपुट डेटा दुर्भावनापूर्ण इनपुट डेटा को तैयार कर सकता है जिसमें एक पुनरावर्ती लुकअप होता है, जिसके परिणामस्वरूप एक स्टैक ओवरफ़्लो त्रुटि समाप्त हो जाएगी प्रक्रिया। इसे DOS (सेवा से इनकार) हमले के रूप में भी जाना जाता है," अपाचे ने समझाया।

उन्होंने कहा कि नवीनतम मुद्दे की खोज अकामाई टेक्नोलॉजीज के हिदेकी ओकामोटो और एक अज्ञात भेद्यता शोधकर्ता द्वारा की गई थी।

शमन में 2.17.0 पैच लागू करना और ${ctx: loginId} या $${ctx: जैसे कॉन्टेक्स्ट लुकअप को बदलना शामिल है: लॉगिंग कॉन्फ़िगरेशन में पैटर्नलेआउट में थ्रेड कॉन्टेक्स्ट मैप पैटर्न (%X, %mdc, या %MDC) के साथ लॉगिनआईडी}। अपाचे ने कॉन्फ़िगरेशन में कॉन्टेक्स्ट लुकअप के संदर्भों को हटाने का भी सुझाव दिया जैसे ${ctx: loginId} या $${ctx: loginId} जहां वे एप्लिकेशन के बाहरी स्रोतों जैसे HTTP हेडर या उपयोगकर्ता से उत्पन्न होते हैं इनपुट.

उन्होंने नोट किया कि केवल Log4j-कोर JAR फ़ाइल CVE-2021-45105 से प्रभावित होती है।

शुक्रवार को सुरक्षा शोधकर्ताओं की ऑनलाइन शुरुआत हुई संभावित मुद्दों के बारे में ट्वीट करना 2.16.0 के साथ, कुछ के साथ सेवा अस्वीकरण की भेद्यता की पहचान करना.

Log4j के बारे में चर्चा पूरे सप्ताह बातचीत पर हावी रही। सीआईएसए कई सलाह जारी कीं अमेरिका में संघीय नागरिक एजेंसियों को अनिवार्य बनाना क्रिसमस से पहले पैच लगाएं जबकि कई प्रमुख तकनीकी कंपनियाँ जैसे IBM, Cisco और VMware अपने उत्पादों में Log4j कमजोरियों को दूर करने के लिए दौड़ पड़े हैं।

सुरक्षा कंपनी ब्लूमीरा ने एक खोजने का दावा किया है नया Log4j आक्रमण वेक्टर इसका उपयोग किसी मशीन या स्थानीय नेटवर्क पर सुनने वाले सर्वर के पथ के माध्यम से किया जा सकता है, जिससे संभावित रूप से इस धारणा को समाप्त किया जा सकता है कि समस्या उजागर कमजोर सर्वर तक ही सीमित थी।

अन्य साइबर सुरक्षा फर्मों ने इसे पाया है कोंटी जैसे प्रमुख रैंसमवेयर समूह भेद्यता का लाभ उठाने के तरीके तलाश रहे हैं।

गूगल एक सुरक्षा रिपोर्ट जारी की शुक्रवार को जहां ओपन सोर्स इनसाइट्स टीम के सदस्य जेम्स वेटर और निकी रिंगलैंड ने कहा कि उन्होंने पाया कि मेवेन सेंट्रल से उपलब्ध जावा कलाकृतियों में से 35,863 प्रभावित लॉग4जे कोड पर निर्भर हैं। इसका मतलब यह है कि मावेन सेंट्रल के सभी पैकेजों में से 8% से अधिक में कम से कम एक संस्करण है जो इस भेद्यता से प्रभावित है, दोनों ने समझाया।

वेटर और रिंगलैंड ने कहा, "मावेन सेंट्रल को प्रभावित करने वाली सलाह का औसत पारिस्थितिकी तंत्र प्रभाव 2% है, औसत 0.1% से कम है।"

अब तक, लगभग 5,000 कलाकृतियों को पैच किया जा चुका है, 30,000 से अधिक को छोड़ दिया गया है। लेकिन दोनों ने कहा कि इस मुद्दे का समाधान करना मुश्किल होगा क्योंकि कुछ उत्पादों में Log4j कितनी गहराई तक अंतर्निहित है।

"अधिकांश कलाकृतियाँ जो log4j पर निर्भर हैं, अप्रत्यक्ष रूप से ऐसा करती हैं। निर्भरता श्रृंखला में भेद्यता जितनी गहरी होती है, उसे ठीक करने के लिए उतने ही अधिक कदम उठाने की आवश्यकता होती है। 80% से अधिक पैकेजों के लिए, भेद्यता एक स्तर से अधिक गहरी है, जिनमें से अधिकांश पांच स्तर नीचे (और कुछ नौ स्तर नीचे) प्रभावित हैं,'' वेटर और रिंगलैंड ने लिखा।

"इन पैकेजों को पेड़ के सभी हिस्सों में सुधार की आवश्यकता होगी, सबसे पहले सबसे गहरी निर्भरता से शुरू करके।"

दोनों ने आगे कहा कि मावेन पैकेजों को प्रभावित करने वाली सभी सार्वजनिक रूप से प्रकट की गई महत्वपूर्ण सलाह को देखने के बाद, उन्हें कम मिला भेद्यता से प्रभावित आधे से अधिक (48%) कलाकृतियों को ठीक कर दिया गया है, जिसका अर्थ है कि Log4j समस्या को ठीक होने में वर्षों लग सकते हैं हल किया।