Apache Vakfı, daha fazla potansiyel güvenlik açığını gideren dördüncü Log4j güncellemesini bir ay içinde kullanıma sunuyor.
Bu aydan daha erken, popüler Java tabanlı günlük kaydı paketi "Log4j"de keşfedilen bir güvenlik açığı sayısız şirket ve teknoloji ürünü için büyük bir sorun haline geldi. Minecraft, Steam, Apple iCloud ve diğer uygulama ve hizmetler yamalı sürümle güncellemeleri aceleye getirmek zorunda kaldı ancak Log4j'in sorunları henüz tamamen çözülmedi. Şimdi başka bir potansiyel güvenlik sorununu düzeltmeyi amaçlayan başka bir güncelleme daha yayınlanıyor.
Apache Yazılım Vakfı yayınlandı Log4j'nin 2.17.1 sürümü Pazartesi gününde (aracılığıyla Bip sesi çıkaran bilgisayar), öncelikle şu şekilde etiketlenen bir güvenlik kusurunu giderir: CVE-2021-44832. Saldırganın Log4j günlük yapılandırma dosyasını kontrol edebilmesi durumunda güvenlik açığı, JDBC Appender kullanılarak uzaktan kod yürütülmesine (RCE) izin verebilir. Soruna, her şeyi başlatan güvenlik açığından daha düşük bir "Orta" önem derecesi verildi --
Apache güvenlik açığı açıklamasında şunu yazdı: "Apache Log4j2'nin 2.0-beta7 ila 2.17.0 sürümleri (güvenlik düzeltmesi sürümleri 2.3.2 ve 2.12.4 hariç), bir saldırganın uzaktan kod yürütme (RCE) saldırısına karşı savunmasızdır. günlük yapılandırma dosyasını değiştirme izni, uzaktan çalıştırabilen bir JNDI URI'ye başvuran bir veri kaynağına sahip bir JDBC Ekleyici kullanarak kötü amaçlı bir yapılandırma oluşturabilir kod. Bu sorun, JNDI veri kaynağı adlarının Log4j2 2.17.1, 2.12.4 ve 2.3.2 sürümlerinde Java protokolüyle sınırlandırılmasıyla giderildi."
"Log4Shell" olarak da bilinen orijinal Log4j istismarı, veri kaydı için Log4j'yi kullanan birçok sunucu veya uygulamada kötü amaçlı kod çalıştırılmasına izin verdi. Cloudflare CEO'su Matthew Prince, istismarın kullanıldığını söyledi 1 Aralık gibi erken bir tarihtekamuya açıklanmasından bir hafta önce ve buna göre Washington post, Google, hiçbir şeyin savunmasız olmadığından emin olmak için 500'den fazla mühendise şirketin kodunu aktarma görevi verdi. Saldırganın yine de Log4j'ye ait bir yapılandırma dosyasını değiştirmesi gerektiğinden, bu güvenlik açığı o kadar ciddi değildir. Eğer bunu yapabilirlerse, muhtemelen daha büyük sorunlarınız vardır.
Bu son sürümün, birçok şirketin zaten kendi başına düzelttiği orijinal istismara yönelik nihai kalıcı düzeltme olması bekleniyor. Ancak, daha sonra keşfedilen boşlukları kapatmak için ilk güncellemeden bu yana bir dizi başka güncelleme de gördük. Şansımız yaver giderse, Log4Shell destanının sonu bu olacak.