Log4Shell Zafiyeti İçin Mitigate Yöntemleri Yayınlandı
Siber güvenlik araştırmacıları, internet üzerinden yaygın olarak çalışan kritik ‘Log4Shell’ Apache Log4j RCE güvenlik açığını uzaktan azaltmak için kullanılabilecek bazı yöntemler açıkladı.
Apache Log4j, web sunucusu erişim günlüklerini veya uygulama günlüklerini analiz etmek için kullanılabilen Java tabanlı bir günlük kaydı platformu. Minecraft gibi kurumsal, e-ticaret platformları ve oyunlarda yoğun olarak kullanılmakta.
Apache, güvenlik açığını gidermek için Log4j 2.15.0′ sürümünü yayınlandı. Siber güvenlik firmaları ve araştırmacılar, saldırganların hızla taradığını ve savunmasız cihazları istismar etmeye çalıştığını gördü.
Log4Shell için mitigate (hafifletme ) yöntemleri nelerdir?
Cybereason güvenlik firması GitHub üzerinden yayınladığı proje ile saldırıların etkilerini hafifletmeyi amaçlıyor. https://github.com/Cybereason/Logout4Shell.
Cybereason, “Bu güvenlik açığına karşı en iyi yöntem, log4j’yi 2.15.0 ve üstüne yama yapmak olsa da, Log4j sürümünde (>=2.10) setting system’den log4j2.formatMsgNoLookups
true
olarak ayarlayarak veya JndiLookup class’ı classpath’den kaldırarak azaltılabilir,” diye açıklıyor .
Eğer sunucu üzerindeki Java runtimes >= 8u121 ise o zaman varsayılan ayarlar com.sun.jndi.rmi.object.trustURLCodebase
ve com.sun.jndi.cosnaming.object.trustUR
LCodebase
“false” olarak ayarlanarak bu riski azaltılabilir.
Kaynak: bleepingcomputer.com