CVE-2021-44228 – log4j - Güvenlik açığı bildirimi
(unit42.paloaltonetworks.com)Java'nın logging framework'ü log4j'de bir güvenlik açığı bildirildi.
-
Etkilenen sürümler: 2.0 ~ 2.14.1
-
Düzeltilmiş sürüm >= 2.15.0-rc1
-
Apache log4j kütüphanesini kullanan tüm sistemlere yama uygulanması önerilir
-
Etkilenen başlıca örnekler
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 yorum
Ah, log4j loglama yapan fonksiyon mu?
Sadece adına bakınca math log4 sanmıştım
Belirli bir dizeyi içeren içerik loga kaydedildiğinde Remote Code Execution (RCE) mümkün kılan bir hatadır.
Bu arada, görünen o ki bu güvenlik açığını kullanarak Minecraft sunucusunu Doom sunucusuna çevirenler de var. Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
Hahahah, Doom'u Minecraft sunucusuna bile portlamışlar..
Etkilenen kapsam o kadar büyük ki, yerli basında bunu "bilgisayar tarihinin en kötü açığı bulundu" başlığıyla tıklama tuzağına çevirip pazarlıyorlardı...
Etkilenen ürünler arasında adını duymanın bile yeterli olduğu pek çok ürün olduğu için, etki alanının da hiç küçümsenecek gibi olmadığı anlaşılıyor.
Güvenlik açığının nasıl yeniden üretileceğiyle ilgili bilgi aşağıdaki haberde yer alıyor.
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
SpringBoot için aşağıdaki bağlantıyı izleyerek işlem yapmanız iyi olur.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'