שוחרר פאץ’ לתיקון אחת הפרצות החמורות בשנים האחרונות – אבל הוא היה פרוץ בעצמו
זוכרים את ׳׳אחת החולשות החמורות שהתגלו בשנים האחרונות׳׳ מלפני שבוע וחצי? אז מתברר שהעדכון שנועד לטפל בה הגיע עם לא אחת, אלא עם שתי חולשות אבטחה חמורות
כך נראה ניצול של החולשה בגרסה 2.15.0 של Log4j | מתוך עמוד הריפו שבו נחשפה החולשה ב-Github
לפני 10 ימים נכנסה לחיינו Log4j, ספריית לוגינג בקוד פתוח שכללה חולשת אבטחה חמורה שאפשרה טעינה של ספריות מרוחקות דרך מנגנון JNDI של Java בעזרת בקשת web פשוטה – וחשפה מיליוני שירותים שעשו שימוש בספרייה ברחבי הרשת. מפתחי אפאצ’י מיהרו להוציא פאץ’ כדי לטפל בחולשה הזו. אבל על הדרך הם גם חשפו את כל מי שעדכנו גרסה.
חולשות שאיפשרו מתקפות DoS וחילוץ מידע מהספרייה
חוקרי אבטחה שבחנו את העדכון ל-Log4j שדחפו מפתחי אפאצ’י – Log4j 2.15.0 – גילו כי הגרסה המעודכנת של הספרייה כללה גם היא חולשות אבטחה חמורות (שתיים, ליתר דיוק), וכי שחקנים זדוניים כבר גילו את החולשות הללו והחלו לנצל אותן.
על פי חוקרי האבטחה שגילו את החולשות, שכבר זכו למספר המעקב CVE-2021-45046, בעדכון המהיר ל-Log4j אפשרו לתוקפים לבצע מתקפות DoS על ידי ניצול של מנגנון ה-JNDI של Java. החולשות, כך עולה מעמוד הריפו שבו פורסמה החולשה בספרייה החדשה בגיטהאב, היו בקונפיגרציות שלא הגיעו כברירת המחדל ב-Log4j.
התוקפים יכלו לגשת בגרסה “המתוקנת” לדאטה שאוספת הספרייה ולהזריק אליו דאטה זדוני שהוביל בסופו של דבר לקריסת הספרייה, מה שהיה מחייב את מי שהיו הקורבנות שלהם לבצע ריבוט כדי בכלל לעשות שימוש ב-Log4j.
הסבר למתקדמים: מה לעזאזל זו חולשת Log4j?
החוקרים קראו לכל מי שעדכנו בזריזות לגריסה 2.15.0 לעשות זאת שוב ולעדכן לגרסה החדשה ביותר שיצאה בשבוע שעבר – Log4j 2.16.0 – הכוללת תיקון של החולשות החדשות בספרייה, ושנכון לעכשיו נראית סוף-סוף נטולת חולשות.
על פי חוקרי אבטחה מחברה אחרת בשם Praetorian, גרסה 2.15.0 לא כוללת רק את החולשה שאיפשרה ביצוע מתקפות DoS, אלא כוללת גם חולשה בעייתית אף יותר. על פי החוקרים, גרסה 2.15.0 מאפשרת לתוקפים גישה למידע רגיש המאוחסן בספרייה “במקרים מסוימים”. עם זאת, חוקרי האבטחה לא חשפו יותר מדי מכיוון שהחולשה שגילו עדיין נמצאת בתהליך אסגרה מול מפתחי אפאצ’י. גם במקרה הזה החוקרים ממליצים למי שעדכנו לגרסה 2.15.0 למהר ולעדכן שוב – הפעם ל-2.16.0 כדי לא להישאר חשופים למתקפות שעל הנייר הן אפילו חמורות יותר ממתקפות DoS מקומיות.
אושרי אלקסלסי
Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il
הגב
4 תגובות על "שוחרר פאץ’ לתיקון אחת הפרצות החמורות בשנים האחרונות – אבל הוא היה פרוץ בעצמו"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
2.16 זה כל כך 2021 … תתעדכנו יש כבר 2.17
לא יאומן.. יצא כבר 2.17 לפני יומיים, ועכשיו אתם עושים כתבה שאומרת לעדכן ל2.16, מה שפורסם לפני כמעט שבוע
בסדר אל תדאג, מפתחים לא מסתמכים על הבלוג הזה בשביל להחליט איזו גרסא להתקין
מה נסגר? אני מקווה שהם מבינים את המשמעות של כל הפירצות האלו.. כי זה לא נראה ככה.