Log4j Java Güvenlik Açığı Çözümü (CVE-2021-44228)
Log4j, Apache tarafından açık kaynak olarak yayınlanan bir logging kütühanesidir.
Log4j’de bir güvenlik açığı meydana geldi ve logging sistemlerinde çok fazla kullanılan bir kütüphanedir.
Log4j olarak (>= 2.0-beta9 <= 2.14.1) arası bir sürüm kullanıyorsanız bu zafiyetten etkileniyorsunuz demektir. Aşağıda yer alan kütüphaneleri kullanıyorsanız sistemlerinizi muhakkak gözden geçirin.
- Apache Struts
- Apache Solr
- Apache Druid
- Apache Flink
- ElasticSearch
- Flume
- Apache Dubbo
- Logstash
- Kafka
- *Bu yazı yazılana kadar bilinen kütüphanelerdir. Artabilir.
Log4j güvenlik açığı çözümü için yapmamız gereken farklı yöntemler bulunmaktadır. Sisteminizin veya yazılımınızın izin verdiği ölçüde aşağıdaki çözümlerden herhangi birini seçebilirsiniz.
- Log4j’nin en yeni sürümünü 2.15.0 indirebilirsiniz.
- 2.10 ve üstü sürümlerde “log4j2.formatMsgNoLookps=true olarak ayarlayabiliriz.
- JndiLookup sınıfını kaldırarabiliriz.
No Comment! Be the first one.