Apache Software Foundation (ASF), yakın zamanda açıklanan Log4Shell istismarı için bir önceki yamanın “varsayılan olmayan bazı yapılandırmalarda eksik” olarak değerlendirilmesinin ardından Log4j için yeni bir yama yayınladı.
CVE-2021-45046 olarak izlenen ikinci güvenlik açığı , CVSS derecelendirme sisteminde maksimum 10 üzerinden 3,7 olarak derecelendirilmiş ve Log4j’nin 2.0-beta9’dan 2.12.1’e ve 2.13.0’dan 2.15.0’a kadar olan tüm sürümlerini etkiliyor.
Apache , yeni bir danışma belgesinde , CVE-2021-44228 için eksik olan yamanın “JNDI Arama modeli kullanarak hizmet reddi (DoS) saldırısıyla sonuçlanan kötü amaçlı input’lar ile verileri oluşturmak” için kötüye kullanılabileceğini söyledi. Log4j’nin en son sürümü olan 2.16.0 (Java 8 veya sonraki bir sürümünü gerektiren kullanıcılar için), mesaj arama desteğini neredeyse tamamen kaldırır ve güvenlik açığının merkezinde yer alan bileşen olan JNDI’yi varsayılan olarak devre dışı bırakır. Java 7’ye ihtiyaç duyan kullanıcıların, kullanıma sunulduğunda Log4j 2.12.2 sürümüne yükseltmeleri önerilir.
JNDI programlama dilinde kodlanmış uygulamaların LDAP sunucuları gibi verileri ve kaynakları aramasını sağlayan bir Java API’sidir. Sorunun kendisi, LDAP bağlayıcısının JNDI bileşeni kötü amaçlı bir LDAP isteği enjekte etmek için kullanıldığında ortaya çıkıyor. Bu güvenlik açığı bulunan sürümü çalıştıran bir web sunucusunda oturum açıldığında kitaplığın, bir saldırganın uzak bir etki alanından veri almasına ve yerel olarak kod yürütmesine olanak tanıyor.
Şu ana kadar etkilenen üreticleri ise şöyle:
- Akamai
- Amazon
- Apache
- Apereo
- Atlassian
- Broadcom
- Cisco
- Cloudera
- ConnectWise
- Debian
- Docker
- Fortinet,
- IBM
- Intel
- Juniper Networks
- Microsoft
- Okta
- Oracle
- Red Hat
- SolarWinds
- SonicWall
- Splunk
- Ubuntu
- VMware
- Zscaler
- Zoho
Kaynak: thehackernews.com
