Apache Jackrabbit’da xavfli zaiflik: serverlar hujum ostida

Apache Jackrabbit — korporativ tizimlarda keng qo‘llaniladigan ochiq manbali kontent repozitoriyda jiddiy xavfsizlik muammosi aniqlandi. Bu xato xakerlarga serverda istalgan kodni ishga tushirish imkonini beradi.

Zaiflik nimada?

Zaiflik JCR-5135 nomi bilan qayd etilgan. U ishonchsiz ma’lumotlarni deserializatsiya qilish (Deserialization of Untrusted Data) muammosi bilan bog‘liq.

• Ba’zi Apache Jackrabbit sozlamalarida JNDI URI so‘rovlarini tashqi manbalardan qabul qilishga ruxsat berilgan.
• Xaker maxsus zararli JNDI havolasini yuborsa, tizim uni qayta ishlaydi.
• Shu jarayonda xaker serverda kod bajarishga erishadi.

Bu orqali u:

• zararli dastur o‘rnatishi,
• maxfiy ma’lumotlarni o‘g‘irlashi,
• yoki butun tizimni egallab olishi mumkin.

Qaysi versiyalar xavf ostida?

• Jackrabbit Core: 1.0.0 dan 2.22.1 gacha.
• Jackrabbit JCR Commons: 1.0.0 dan 2.22.1 gacha.

Ya’ni, deyarli barcha eski versiyalar ushbu zaiflikdan ta’sirlangan.

Himoya choralari

Apache jamoasi tezkorlik bilan 2.22.2 versiyasini chiqardi. Unda:

• JNDI orqali qidiruvlar standart bo‘yicha o‘chirib qo‘yilgan.
• Kimga bu funksiya kerak bo‘lsa, uni faqat alohida sozlama orqali yoqishi mumkin.

Mutaxassislar ogohlantiradi: agar qayta yoqilsa, faqat ishonchli manbalar bilan ishlash zarur, aks holda tizim yana hujumga ochiq qoladi.

Apache Jackrabbit’dagi ushbu xato juda xavfli. U xakerlarga serverni to‘liq boshqarish imkonini berishi mumkin. Shuning uchun barcha foydalanuvchilar va administratorlarga tavsiya: darhol 2.22.2 yoki undan yuqori versiyaga yangilang va xavfsizlik sozlamalarini qayta ko‘rib chiqing.