Log4j Kabusu Bitmiyor, Üçüncü Güncelleme Yayınlandı

Geçen hafta kritik log4j sıfır gün başladığından beri, güvenlik uzmanları en güvenli sürüm olarak 2.16 sürümünü önermişti. Ancak log4j 2.16 sürümününü etkileyen DoS güvenlik açığını düzelten 2.17.0 sürümü yayınlandı.

Yeni güncellemeler yeni sorunlar ile beraber geliyor

Her geçen gün log4j kütüphanesi etkileyen yeni bir zafiyet çıkıyor. Zafiyetleri kapatmak için yayınlanan güncellemelerin ise başka bir saldırı vektörü için yetersiz olduğu belirtilip yeni bir güncelleme yayınlanıyor.

Birkaç saat önce, vx-underground ve Hacker Fantastic dahil olmak üzere güvenlik araştırmacıları,  log4j 2.16 sürümünü de etkileyen olası bir DDoS kusuru hakkında tweet attı:

New exploit on Friday, as is tradition: Researchers have discovered Log4J version 2.16 is vulnerable to DoS via "${${::-${::-$${::-j}}}}"

More info: https://t.co/pzeWiQEa68

— vx-underground (@vxunderground) December 17, 2021

log4j 2.17.0 yayınlandı

Güvenlik açığını gidermek için log4j sürüm 2.17.0 (Java 8 için) bugün yayınlandı.

Apache şu ana kadar 2.17.0 sürümünü resmi olarak yayınlamış olsa da,GitHub üzerinde, 2.12.3 sürümünün gelebileceği görünüyor.

Google: 35.000’den fazla Java paketinde Log4j kusurları var

Google yapıtğı analizde 35.000’den fazla Java paketinin log4j güvenlik açıkları içerdiğini belirtiyor. Maven Central deposunun (en önemli Java paketi deposu) %8’inden fazlasını oluşturan 35.000’den fazla Java paketi, yakın zamanda açıklanan log4j güvenlik açıklarından etkilenmiştir,” diye açıklıyor. Google’a göre, Maven Central’daki savunmasız Java paketlerinin büyük çoğunluğu log4j’yi “dolaylı olarak” kullanıyor. Yani log4j, paket tarafından kullanılan bir bağımlılığın bağımlılığıdır ve geçişli bağımlılıklar olarak da adlandırılan bir kavram.

Güvenlik açığı bulunan Java paketlerinin çoğu, dolaylı bağımlılıklar olarak ‘log4j’ kullanıyor

Google tarafından tanımlanan 35.863 paketten yaklaşık 7.000’i doğrudan log4j’i kullandı. Bu durum zafiyeti yamalamayı zorlaştırıyor. Bunun nedeni “bağımlıklık üstüne bağımlıkık”. Google şöyle açıklıyor “Kullanıcının bağımlılıklarına ve geçişli bağımlılıklarına ilişkin görünürlük eksikliği, yamayı zorlaştırdı; ayrıca bu güvenlik açığının tam yarıçapını belirlemeyi de zorlaştırdı” diyor. Google ayrıca zafiyetin kapatılmasının yıllarca sürebileceğinide sözlerine ekliyor.

Kaynak: bleepingcomputer.com