Haberler

Log4Shell Zafiyeti İçin Mitigate Yöntemleri Yayınlandı

Siber güvenlik araştırmacıları, internet üzerinden yaygın olarak çalışan kritik ‘Log4Shell’ Apache Log4j RCE güvenlik açığını uzaktan azaltmak için kullanılabilecek bazı yöntemler açıkladı.

Apache Log4j, web sunucusu erişim günlüklerini veya uygulama günlüklerini analiz etmek için kullanılabilen Java tabanlı bir günlük kaydı platformu. Minecraft gibi kurumsal, e-ticaret platformları ve oyunlarda yoğun olarak kullanılmakta.

Apache, güvenlik açığını gidermek için Log4j 2.15.0′ sürümünü yayınlandı. Siber güvenlik firmaları ve araştırmacılar, saldırganların hızla taradığını ve savunmasız cihazları istismar etmeye çalıştığını gördü.

Log4Shell için mitigate (hafifletme ) yöntemleri nelerdir?

Cybereason güvenlik firması GitHub üzerinden yayınladığı proje ile saldırıların etkilerini hafifletmeyi amaçlıyor. https://github.com/Cybereason/Logout4Shell.

Cybereason, “Bu güvenlik açığına karşı en iyi yöntem, log4j’yi 2.15.0 ve üstüne yama yapmak olsa da, Log4j sürümünde (>=2.10) setting system’den log4j2.formatMsgNoLookups true olarak ayarlayarak veya JndiLookup class’ı  classpath’den kaldırarak azaltılabilir,” diye açıklıyor .

Eğer sunucu üzerindeki Java runtimes >= 8u121 ise o zaman varsayılan ayarlar com.sun.jndi.rmi.object.trustURLCodebase ve com.sun.jndi.cosnaming.object.trustURLCodebase “false” olarak ayarlanarak bu riski azaltılabilir.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.