12 puan yazan tkwlsrl 2021-12-11 | 7 yorum | WhatsApp'ta paylaş

Java'nın logging framework'ü log4j'de bir güvenlik açığı bildirildi.

  • Etkilenen sürümler: 2.0 ~ 2.14.1

  • Düzeltilmiş sürüm >= 2.15.0-rc1

  • Apache log4j kütüphanesini kullanan tüm sistemlere yama uygulanması önerilir

  • Etkilenen başlıca örnekler

    • Apache Struts

    • Apache Solr

    • Apache Druid

    • Apache Flink

    • ElasticSearch

    • Flume

    • Apache Dubbo

    • Logstash

    • Kafka

    • Spring-Boot-starter-log4j2

7 yorum

 
v08zbv8fvlkjasdflkj 2021-12-13

Ah, log4j loglama yapan fonksiyon mu?

Sadece adına bakınca math log4 sanmıştım

 
xguru 2021-12-11

Belirli bir dizeyi içeren içerik loga kaydedildiğinde Remote Code Execution (RCE) mümkün kılan bir hatadır.

 
kunggom 2021-12-13

Bu arada, görünen o ki bu güvenlik açığını kullanarak Minecraft sunucusunu Doom sunucusuna çevirenler de var. Rip and Tear!

https://twitter.com/gegy1000/status/1469714451716882434

 
budlebee 2021-12-13

Hahahah, Doom'u Minecraft sunucusuna bile portlamışlar..

 
xguru 2021-12-11

Etkilenen kapsam o kadar büyük ki, yerli basında bunu "bilgisayar tarihinin en kötü açığı bulundu" başlığıyla tıklama tuzağına çevirip pazarlıyorlardı...

 
kunggom 2021-12-11

Etkilenen ürünler arasında adını duymanın bile yeterli olduğu pek çok ürün olduğu için, etki alanının da hiç küçümsenecek gibi olmadığı anlaşılıyor.

Güvenlik açığının nasıl yeniden üretileceğiyle ilgili bilgi aşağıdaki haberde yer alıyor.

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit

https://pcmag.com/news/…

 
tkwlsrl 2021-12-11

SpringBoot için aşağıdaki bağlantıyı izleyerek işlem yapmanız iyi olur.

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven

2.15.0

gradle

ext['log4j2.version'] = '2.15.0'