CVE-2021-44228 – Log4j

Log4j, Ceki Gülcü tarafından geliştirmeye başlanan ve ilk sürümü 1999 yılında piyasaya sürülen Java tabanlı loglama kütüphanesi’dir. Log4j’nin ikinci sürümü Apache Software Foundation tarafından 2014 yılında yayınlandı. Log4j seviye bazlı bir loglama yapar ve seviyeler isteğe göre değiştirilebilir.

9 Aralık 2021 tarihinde CVE-2021-44228 Zero Day yayınlandı. Başlıca Amazon, Apache, Broadcom, Cisco, Debian, Docker, Fortinet, Google, IBM, Intel, Microsoft, Oracle, Red Hat, SolarWinds, Ubuntu, VMware olmak üzere bir çok üreticinin bu açıktan etkilendigi bilinmektedir. Bu açık üzerinden uzaktan erişim ile kod çalıştırma ve sunuculara uzaktan erişme gibi eylemler gerçekleştirebilir. Zafiyetin risk seviyesi 10 üzeriden 10 olarak derecelendirilmiş.

https://nvd.nist.gov/vuln/detail/CVE-2021-44228 

Aşağıdaki video’da Minecraft’a sızma girişimi mevcut 🙂

https://www.youtube.com/watch?v=7qoPDq41xhQ&ab_channel=JohnHammond 

Log4j sürümünüzü 2.0.17 seviyesine yükselterek bu açıktan kurtulabilirsiniz. Eğer sürüm yükseltmesi yapamıyorsanız, log4j2.formatMsgNoLookups parametresi ile workaround uygulamalısınız.

https://www.cyberkendra.com/2021/12/apache-log4j-vulnerability-details-and.html 

https://www.lunasec.io/docs/blog/log4j-zero-day/ 

Son olarak hangi firmaların bu açıktan etkilendiğini github üzerinden takip edebilirsiniz.

https://github.com/NCSC-NL/log4shell/tree/main/software

 

Copyright © 2024 Serhad Makbuloglu
×
Close