Apache Yazılım Vakfı (ASF) Salı günü Log4j’de, tehdit aktörleri tarafından etkilenen sistemlerde kötü amaçlı kod çalıştırmak için kötüye kullanılabilecek rastgele bir kod yürütme kusuru içeren yeni yamalar yayınladı ve bu, onu araçta keşfedilen beşinci güvenlik eksikliği haline getirdi. bir aylık süre.
olarak izlendi CVE-2021-44832, güvenlik açığı 10 üzerinden 6,6 önem derecesine sahiptir ve 2.3.2 ve 2.12.4 hariç olmak üzere günlük kaydı kitaplığının 2.0-alpha7’den 2.17.0’a kadar olan tüm sürümlerini etkiler. Log4j 1.x sürümleri etkilenmese de, kullanıcıların Log4j 2.3.2’ye (Java 6 için), 2.12.4’e (Java 7 için) veya 2.17.1’e (Java 8 ve üstü için) yükseltmeleri önerilir.
“Apache Log4j2 2.0-beta7’den 2.17.0’a kadar olan sürümler (güvenlik düzeltme sürümleri 2.3.2 ve 2.12.4 hariç), günlük yapılandırma dosyasını değiştirme iznine sahip bir saldırganın kötü amaçlı bir kod yürütme (RCE) saldırısına karşı savunmasızdır. uzak kodu yürütebilen bir JNDI URI’sine başvuran bir veri kaynağına sahip bir JDBC Ekleyicisi kullanarak yapılandırma,” ASF söz konusu bir danışma belgesinde. “Bu sorun, JNDI veri kaynağı adlarının Log4j2 2.17.1, 2.12.4 ve 2.3.2 sürümlerinde Java protokolüyle sınırlandırılmasıyla giderildi.”
ASF tarafından konuyla ilgili herhangi bir kredi verilmemesine rağmen, Checkmarx güvenlik araştırmacısı Yaniv Nizry talep edilen kredi Güvenlik açığını 27 Aralık’ta Apache’ye bildirdiği için.
Nizry, “Saldırganın yapılandırma üzerinde kontrol sahibi olmasını gerektirdiğinden, bu güvenlik açığının karmaşıklığı orijinal CVE-2021-44228’den daha yüksektir.” kayıt edilmiş. “Logback’ten farklı olarak, Log4j’de bir uzaktan yapılandırma dosyası yükleme veya kod aracılığıyla kaydediciyi yapılandırma özelliği vardır; [an] MitM saldırısı, güvenlik açığı bulunan bir yapılandırma değişkeninde biten veya yapılandırma dosyasını değiştiren kullanıcı girişi.”
En son düzeltmeyle, proje sahipleri Log4Shell kusurunun bu ayın başlarında ortaya çıkmasından bu yana Log4j’deki toplam dört sorunu ele aldı ve Log4j 1.2 sürümlerini etkileyen ve düzeltilmeyecek olan beşinci bir güvenlik açığından bahsetmiyorum bile —
- CVE-2021-44228 (CVSS puanı: 10.0) – Log4j sürümlerini 2.0-beta9’dan 2.14.1’e etkileyen bir uzaktan kod yürütme güvenlik açığı (2.15.0 sürümünde düzeltildi)
- CVE-2021-45046 (CVSS puanı: 9.0) – 2.12.2 hariç Log4j sürümlerini 2.0-beta9’dan 2.15.0’a etkileyen bir bilgi sızıntısı ve uzaktan kod yürütme güvenlik açığı (2.16.0 sürümünde düzeltildi)
- CVE-2021-45105 (CVSS puanı: 7.5) – Log4j sürümlerini 2.0-beta9’dan 2.16.0’a etkileyen bir hizmet reddi güvenlik açığı (2.17.0 sürümünde düzeltildi)
- CVE-2021-4104 (CVSS puanı: 8.1) – Log4j sürüm 1.2’yi etkileyen güvenilmeyen bir seri durumdan çıkarma hatası (Düzeltme yok; Sürüm 2.17.1’e yükseltin)
Geliştirme ayrıca Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve ABD’deki istihbarat teşkilatlarının Apache’nin Log4j yazılım kitaplığındaki çoklu güvenlik açıklarının hain düşmanlar tarafından toplu olarak sömürülmesi konusunda ortak bir tavsiye uyarısı yayınlamasıyla birlikte geliyor.
.
siber-2