Yine başka bir Log4j yaması, yeni uzaktan kod yürütme hatasını barındırıyor

Son güncelleme: 29 Aralık 2021 19:26

Apache, yeni bir uzaktan kod yürütme güvenlik açığı için bir düzeltme sağlayan, artık kötü şöhretli Log4j yardımcı programı için başka bir yama yayınladı.

Günlüğe kaydetme yardımcı programı, çok sınırlı bilgiye sahip kötü niyetli kişilerin komut dosyalarını uzaktan çalıştırmasına olanak tanıyan büyük bir güvenlik açığı keşfedildikten sonra, Aralık ayının büyük bölümünde siber güvenlik topluluğunun ilgi odağı oldu.

Bu boşluk o zamandan beri yamalandı, ancak kaydedicinin daha yeni versiyonu, orijinali kadar tehlikeli olmasa da, kendi kusurlarıyla geldi. Bu güvenlik açığı kapatıldıktan kısa bir süre sonra, başka bir sorun daha keşfedildi.

Log4j sürüm 2.17.1. ile en son güvenlik açığı (CVE-2021-44832 olarak izlenir) düzeltildi. Tüm kullanıcılardan güncellemeye öncelik vermeleri istendi.

Başka bir Log4j yaması

En son güvenlik açığı, Log4j’de JDNI erişimi üzerinde ek denetimlerin olmamasından kaynaklanan bir uzaktan kod yürütme hatası olarak sınıflandırılıyor. Olarak BleeBilgisayar Raporlara göre, kusurun ciddiyeti “Orta” olarak derecelendirildi ve Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) göre 6,6/10 puan verildi.

Hata açıklaması, “JDBC Appender, JNDI’ye erişirken JndiManager’ı kullanmalıdır. JNDI erişimi bir sistem özelliği aracılığıyla kontrol edilmelidir.”

“Günlük yapılandırma dosyasını değiştirme iznine sahip bir saldırganın, uzak kod yürütebilen bir JNDI URI’sine başvuran bir veri kaynağına sahip bir JDBC Ekleyici kullanarak kötü amaçlı bir yapılandırma oluşturabildiği CVE-2021-44832 ile ilgilidir.”

CVE-2021-44228 olarak izlenen orijinal Log4j güvenlik açığına Log4Shell takma adı verildi. Dolandırıcıların neredeyse her türlü kodu uzaktan çalıştırmasına izin verdi ve Log4j’nin yaygın kullanımı göz önüne alındığında, dünya çapındaki şirketler ve devlet kurumları için hızla bir kabus haline geldi.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Direktörü Jen Easterly, bunu tüm kariyeri boyunca gördüğü “en ciddi” kusurlardan biri olarak nitelendirdi, “en ciddi olmasa da”.