Log4j Güvenlik Zafiyeti


Log4J kısaca java tabanlı bir loglama kütüphanesidir. Bu kütüphane, java için günlük kaydı çerçevesinde birçok ticari ve açık kaynaklı yazılım ürününde yaygın olarak kullanılmaktadır. Java tabanlı uygulamalar için oldukça popüler olan Log4j'de kritik bir güvenlik açığı tespit edilmiştir. 

CVE-2021-44228 olarak izlenen zafiyet, Log4Shell veya LogJam olarak adlandırılıyor ve Log4j 2.0-beta9’dan 2.14.1’e kadar olan sistemlerin tamamının ele geçilmesine izin veriyor. Bu güvenlik açığı bahsettiğimiz gibi Java altyapısını kullanan Adobe ColdFusion'ı da etkiliyor. ColdFusion resmi bir yama yayınlanana kadar geçici çözümleri ve azaltma adımlarının uygulanmasını öneriyordu. 

21/12/2021 tarihinde patch yayımlandıktan ve son güncelleme geldikten sonra resmi kaynakta belirtilen adımların uygulanması gerekiyor. ColdFusion 2021, Log4j 2.13.3 ve 1.2 sürümleriyle birlikte gelirken ilki bu güvenlik açığından etkilenirken ikincisi etkilenmez. ColdFusion 2018, log4j 2.13.3 ve/veya 2.9.0 ve log4j 1.2 ile birlikte gönderilir. İlki bu güvenlik açığından etkilenirken ikincisi (yani v1.2) etkilenmez. ColdFusion (2016 sürümü), etkilenmeyen Log4j 1.2 ile birlikte gelir. Yüklemede Log4j2 kullanan yazılımlar veya kitaplıklar varsa, bunlar ile sürüm 2018 veya 2021 için aşağıda resimlerle daha detaylıca aktarılan adımların izlenmesi gerekir. Bu adımları uyguladıktan sonra kısaca sırasıyla özetlemek gerekirse;

  1. Adobe ColdFusion App servisinin durdurulması, 
  2. JVM konfigürasyon dosyasının güncellenmesi, 
  3. Log4j kütüphanesinin yenisi ile değiştirilmesi, 
  4. ColdFusion update/upgrade işlemini yapılması, 
  5. Web server konfigürasyonunun tekrar yapılması,
  6. ColdFusion Licence anahtarının tekrar girilmesi,
  7. Adobe ColdFusion App servisinin başlatılması.


Yardımcı Kaynaklar: 

Geri Bildirim

Bu içeriği faydalı buldunuz mu?