Skip to content

Apache Derby’dagi LDAP Injection zaifligi dasturchilar va tizim administratorlari uchun muhim xavfsizlik ogohlantirishi bermoqda

Apache Derby – bu Java tilida to’liq amalga oshirilgan ochiq kodli ma’lumotlar bazasi tizimi bo‘lib, undan ko‘plab dastur va xizmatlarda foydalaniladi. Ammo yaqinda aniqlangan CVE-2022-46337 zaifligi ushbu platformaga asoslangan tizimlarni jiddiy xavf ostida qoldirdi. Ushbu zaiflik hujumchilarga LDAP (Lightweight Directory Access Protocol) injeksiya orqali autentifikatsiyani chetlab o’tishga imkon beradi.

CVE-2022-46337 muammosi LDAP so‘rovlarida maxsus belgilarning noto‘g‘ri neytrallashuvi (CWE-74) tufayli yuzaga keladi. Ya’ni, tizimga yuborilayotgan foydalanuvchi ma’lumotlari yetarlicha tekshirilmasdan qabul qilinadi va so‘rovni buzish orqali autentifikatsiyani aylanib o‘tish imkoniyati paydo bo‘ladi. Bu holatda hujumchi maxsus ishlab chiqilgan foydalanuvchi nomi orqali tizimga noqonuniy kirish huquqini qo‘lga kiritishi mumkin.

Ushbu zaiflik CVSS (Common Vulnerability Scoring System) reytingida 9.1 ball bilan baholangan bo‘lib, bu uning yuqori xavflilik darajasini bildiradi. Agar hujum muvaffaqiyatli amalga oshirilsa, quyidagi xavfli holatlar yuzaga kelishi mumkin:

  • Hujumchi disk xotirasini to‘ldirish uchun cheksiz ma’lumotlar bazalarini yaratishi mumkin.
  • Apache Derby serverida ishlayotgan jarayon huquqlari doirasida ijro etiladigan kodni ishga tushirish imkoniyati paydo bo‘ladi.
  • SQL GRANT/REVOKE mexanizmi bilan himoyalanmagan ma’lumotlar bazasiga kirish, ularni o‘zgartirish yoki o‘g‘irlash mumkin.
  • Imtiyozli funksiyalar va protseduralarni ishga tushirish orqali serverni qo‘shimcha buzish usullari amalga oshirilishi mumkin.

Mazkur zaiflik quyidagi Apache Derby versiyalarida aniqlangan:

  • 10.1.1.0 dan 10.14.3.0 gacha
  • 10.15.1.3 dan 10.15.2.1 gacha
  • 10.16.1.1

Shuningdek, IBM tomonidan ishlab chiqilgan ba’zi mahsulotlar ham ushbu zaiflikdan ta’sirlangan:

  • TXSeries for Multiplatforms: 8.1, 8.2, 9.1, 10.1 versiyalari
  • IBM Spectrum Control: 5.4.0 dan 5.4.11 gacha bo‘lgan versiyalar

Muhimi shundaki, IBM Business Automation Workflow Containers (v23.0.2) Apache Derby komponentidan foydalansa ham, uning ishlab chiqarish konfiguratsiyasida LDAP autentifikatsiyasi ishlatilmagani sababli ushbu zaiflikdan ta’sirlanmagan.

Apache Software Foundation ushbu zaiflikka qarshi quyidagi choralarni ko‘rishni tavsiya qiladi:

  1. Apache Derby’ni eng so‘nggi versiyaga (10.17.1.0) yangilash va Java 21 dan foydalanish.
  2. Agar tizimni to‘liq yangilash imkoni bo‘lmasa, Apache Derby 10.14, 10.15 va 10.16 versiyalariga tegishli xavfsizlik yamoqlarini tatbiq qilish.
  3. LDAP autentifikatsiya tizimlarida kiritilayotgan ma’lumotlarning to‘liq validatsiyasini ta’minlash, foydalanuvchi kiritgan ma’lumotlar maxsus belgilarni o‘z ichiga olmasligini tekshirish.
  4. IBM mahsulotlarida ushbu zaiflikni bartaraf etish uchun:
    • TXSeries for Multiplatforms 9.1/10.1: IBM Fix Central orqali xavfsizlik yamoqlarini o‘rnatish.
    • TXSeries 8.1/8.2: Agar tizim kengaytirilgan qo‘llab-quvvatlash rejimida bo‘lsa, IBM Salesforce orqali tuzatishlarni so‘rash.
    • IBM Spectrum Control 5.4.x: 5.4.12 versiyasiga yangilash va eski, zaif derby.jar hamda derbytools.jar fayllarini tizimdan olib tashlash.

LDAP injeksiya zaifligi Apache Derby foydalanuvchilariga jiddiy xavf tug‘diradi, chunki u orqali autentifikatsiya tizimini chetlab o‘tish va imtiyozli kirish imkoniyatini qo‘lga kiritish mumkin. Ayniqsa, ushbu ma’lumotlar bazasidan korporativ loyihalarda yoki xavfsizlik sezgir bo‘lgan tizimlarda foydalanilayotgan bo‘lsa, darhol yamoqlash choralari ko‘rilishi zarur.

Ushbu zaiflikdan samarali himoyalanish uchun Apache va IBM tomonidan chiqarilgan rasmiy yamoqlarni iloji boricha tezroq o‘rnatish hamda LDAP so‘rovlarini himoyalash bo‘yicha qo‘shimcha choralar ko‘rish tavsiya etiladi. Chunki autentifikatsiya tizimidagi har qanday zaiflik hujumchilar uchun katta imkoniyat yaratib beradi.

Tizimingiz xavfsizligini doimiy ravishda tekshirib boring va zaifliklarni o‘z vaqtida bartaraf qiling!