ozztech_logo_white

Log4J İçin Güncelleme Yayınlandı

log4shell

Log4j’de Salı günü, tehdit aktörleri tarafından etkilenen sistemlerde kötü amaçlı kod çalıştırmak için kötüye kullanılabilecek rastgele bir kod yürütme kusuru içeren yeni yamalar yayınladı ve bu, onu araçta keşfedilen beşinci güvenlik eksikliği haline getirdi.

CVE-2021-44832 olarak izlenen güvenlik açığı, 10 üzerinden 6,6 önem derecesine sahiptir ve 2.3.2 ve 2.12.4 dışında günlük kaydı kitaplığının 2.0-alpha7’den 2.17.0’a kadar olan tüm sürümlerini etkiler. Log4j 1.x sürümleri etkilenmese de, kullanıcıların Log4j 2.3.2’ye (Java 6 için), 2.12.4’e (Java 7 için) veya 2.17.1’e (Java 8 ve üstü için) yükseltmeleri önerilir.

“Apache Log4j2 2.0-beta7’den 2.17.0’a kadar olan sürümler güvenlik düzeltme sürümleri 2.3.2 ve 2.12.4 hariç, günlük yapılandırma dosyasını değiştirme iznine sahip bir saldırganın kötü amaçlı bir kod yürütme RCE saldırısına karşı savunmasızdır. ASF, bir danışma belgesinde, uzaktan kod yürütebilen bir JNDI URI’sine atıfta bulunan bir veri kaynağına sahip bir JDBC Ekleyicisi kullanarak yapılandırma mümkündür. “Bu sorun, JNDI veri kaynağı adlarının Log4j2 2.17.1, 2.12.4 ve 2.3.2 sürümlerinde Java protokolüyle sınırlandırılmasıyla giderildi.”denildi.

ASF tarafından sorun için herhangi bir kredi verilmemesine rağmen, Checkmarx güvenlik araştırmacısı Yaniv Nizry, 27 Aralık’ta güvenlik açığını Apache’ye bildirdiği için kredi talep etti.

Nizry, “Saldırganın yapılandırma üzerinde kontrol sahibi olmasını gerektirdiğinden, bu güvenlik açığının karmaşıklığı orijinal CVE-2021-44228’den daha yüksektir” dedi. “Logback’ten farklı olarak, Log4j’de bir uzaktan yapılandırma dosyası yükleme veya kod aracılığıyla kaydediciyi yapılandırma özelliği vardır, bu nedenle MitM saldırısıyla rastgele bir kod yürütmesi gerçekleştirilebilir, kullanıcı girişi savunmasız bir yapılandırma değişkeninde sona erer, veya yapılandırma dosyasını değiştirebilir.”

En son düzeltmeyle, proje sahipleri Log4Shell kusurunun bu ayın başlarında ortaya çıkmasından bu yana Log4j’deki toplam dört sorunu ele aldı ve Log4j 1.2 sürümlerini etkileyen ve düzeltilmeyecek olan beşinci bir güvenlik açığından bahsetmiyorum bile.

  • CVE-2021-44228 (CVSS puanı: 10.0) – Log4j sürümlerini 2.0-beta9’dan 2.14.1’e etkileyen bir uzaktan kod yürütme güvenlik açığı (2.15.0 sürümünde düzeltildi)
  • CVE-2021-45046 (CVSS puanı: 9.0) – 2.12.2 hariç Log4j sürümlerini 2.0-beta9’dan 2.15.0’a etkileyen bir bilgi sızıntısı ve uzaktan kod yürütme güvenlik açığı (2.16.0 sürümünde düzeltildi)
  • CVE-2021-45105 (CVSS puanı: 7.5) – Log4j sürümlerini 2.0-beta9’dan 2.16.0’a etkileyen bir hizmet reddi güvenlik açığı (2.17.0 sürümünde düzeltildi)
  • CVE-2021-4104 (CVSS puanı: 8.1) – Log4j sürüm 1.2’yi etkileyen güvenilmeyen bir seri durumdan çıkarma hatası (Düzeltme yok; Sürüm 2.17.1’e yükseltin)

Geliştirme ayrıca Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve ABD’deki istihbarat teşkilatlarının Apache’nin Log4j yazılım kitaplığındaki çoklu güvenlik açıklarının hain düşmanlar tarafından toplu olarak sömürülmesi konusunda ortak bir uyarı uyarısı yayınlamasıyla birlikte geliyor.

Bu makalemizi beğendiyseniz sizleri Log4Shell Güvenlik Açığı adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/log4shell-guvenlik-acigi/

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »