Log4Shell benzeri hata ciddidir ancak kötü şöhretli Log4j güvenlik açığından daha az tehlikelidir
Apache Commons Metin kitaplığında yamalanan kritik bir kusur, geçen yıl neredeyse her yerde bulunan açık kaynak bileşeni Log4j’de ortaya çıkan ‘Log4Shell’ hatasıyla karşılaştırmalara yol açtı.
Bununla birlikte, Mart ayında Commons Text kusurunu bulan ve bildiren araştırmacı, tüm zamanların en ciddi kusurlarından biri olarak kabul edilen ‘Log4Shell’ güvenlik açığına benzerliğini kabul ederken, karşılaştırmalı etkisini küçümsedi.
Arama bağlantısı
GitHub Security Lab baş araştırmacısı Alvaro Muñoz, “Güvenlik açığı gerçekten çok benzer” dedi. Günlük Swig.
“Apache Commons Metin kodu, Log4j kodunu temel alıyor gibi görünüyor, çünkü her ikisi de birden çok Arama kaynağının enterpolasyonunu mümkün kılıyor. Log4j etkin JNDI aramaları [while] Apache Commons Metni ve Apache Commons Yapılandırması, komut dosyası aramalarına izin verir – her ikisi de RCE’ye yol açabilir. Etkisi bu nedenle çok yüksek.
“Ancak, bir sorunun ciddiyetinin hem etkiye hem de olasılığa göre hesaplandığını ve Apache Commons Metni için ACT’nin havuzuna güvenilmeyen veri akışı olasılığının çok daha düşük olduğunu akılda tutmakta fayda var.”
ÖNERİLEN ‘Endemik’ Log4j hatası, en az on yıl boyunca vahşi doğada kalmaya ayarlandı
Apache Commons Text, metinden çıkış, dize farklarını hesaplama ve metindeki yer tutucuları enterpolatörler aracılığıyla aranan değerlerle değiştirme gibi metin işlemlerini gerçekleştirir. Diğer açık kaynak kitaplığı Log4j, Java tabanlı bir günlük kaydı aracıdır.
CVE-2022-42889 olarak izlenen Commons Text hatası, 13 Ekim’de bir Apache Software Foundation (ASF) güvenlik danışmanlığı ile ortaya çıktı.
Güvenlik açığı, kitaplığın değişken enterpolasyon işlevinin güvenli olmayan bir şekilde uygulanmasına odaklanır, yani belirli varsayılan arama dizeleri, DNS istekleri, URL’ler veya satır içi komut dosyaları gibi uzak saldırganlardan gelen güvenilmeyen girdileri potansiyel olarak kabul edebilir.
‘Açıkça belgelendi’
Rapid7 tarafından dün yayınlanan teknik bir analiz de, CVSS puanı 9.8 olan, yine de Log4Shell’in ciddiyet cephesindeki mükemmel 10’una yakın olan hata üzerindeki yutturmacayı azaltmaya çalıştı.
Rapid7, savunmasız “interpolatör, Log4j’deki savunmasız dize ikamesinden çok daha az yaygın olarak kullanılmaktadır ve böyle bir enterpolatörün doğası, savunmasız nesneye hazırlanmış girdi almanın, yalnızca Log4Shell’deki gibi hazırlanmış bir dizeyle etkileşime girmekten daha az olası olduğu anlamına gelir” dedi. .
ASF bu duyguları yineledi ve şunları söyledi: Günlük Swig: “Log4Shell’de, genellikle güvenilmeyen girdi içeren günlük mesajı gövdesinden dize enterpolasyonu mümkündü. Apache Ortak Metin sayısında, ilgili yöntemin açıkça amaçlanmış ve açıkça dize enterpolasyonu gerçekleştirmesi belgelenmiştir, bu nedenle uygulamaların doğru doğrulama olmadan yanlışlıkla güvenilmeyen girdilerden geçmesi çok daha az olasıdır.”
iyileştirme
Kusur, Apache Commons Metin 1.5 ila 1.9 sürümlerini ve tüm JDK sürümlerini etkiler ve 1.10 sürümünde yamalanmıştır.
ASF şunları söyledi: “Dize değiştirme özelliğini kullanırken, mevcut enterpolatörlerin bazıları ağ erişimini veya kod yürütmeyi tetikleyebilir. Bu amaçlanmaktadır, ancak aynı zamanda, uygun şekilde sterilize edilmeden ikameye geçirilen dizede kullanıcı girdisi içeren bir uygulamanın, bir saldırganın bu enterpolatörleri tetiklemesine izin vereceği anlamına gelir.
Web güvenlik açıklarıyla ilgili en son haberleri okuyun
“Bu nedenle, Apache Commons Text ekibi, girişleri doğrulamadaki bir başarısızlığın etkisinin hafifletilmesi ve bir saldırganın bu enterpolatörlere erişimi olmaması için yapılandırmayı daha ‘varsayılan olarak güvenli’ olacak şekilde güncellemeye karar verdi.
“Ancak yine de kullanıcıların güvenilmeyen girdileri dikkatli bir şekilde ele almaları önerilir. Şu anda ikame ediciye güvenilmeyen girdiler ileten ve dolayısıyla Apache Commons Text 1.10.0’dan önce bu sorundan etkilenmiş olabilecek herhangi bir uygulamanın farkında değiliz.”
Rapid7, geliştiricilerin ve bakımcıların takip eden satıcı tavsiyelerine dikkat etmelerini, “yamaları kullanılabilir olduklarında yüklemelerini ve satıcının uygulamalarının uzaktan sömürülebilir olabileceğini belirttiği her yere öncelik vermelerini” tavsiye ediyor.
İLİŞKİLİ Log4Shell mirası? En kritik güvenlik açıkları için yama süreleri düşüyor – rapor