İkinci Log4j güvenlik açığı bulundu; Apache yamayı yayınladı
Salı günü ikinci bir Log4j güvenlik açığı (CVE-2021-45046) bildirildi ve Apache’nin hemen Log4j 2.16.0 yamasını yayınlamasını istedi.
En son CVE’ye göre araştırmacılar , Apache Log4j 2.15.0’da CVE-2021-44228’e (bilinen ilk güvenlik açığı) yönelik düzeltmenin bazı varsayılan olmayan yapılandırmalarda eksik olduğunu buldu. Yeni CVE, bunun, saldırganların bir Java Adlandırma ve Dizin Arabirimi (JNDI) “arama” deseni kullanarak kötü niyetli girdi verileri oluşturmasına olanak tanıyabileceğini ve bunun bir hizmet reddi (DoS) saldırısıyla sonuçlanabileceğini söyledi.
Log4j 2.16.0, mesaj arama kalıpları desteğini kaldırarak ve varsayılan olarak JNDI işlevini devre dışı bırakarak bu sorunu giderir.
Metnin aslına ulaşmak için:
https://www.scmagazine.com/news/cybercrime/second-log4j-vulnerability-found-apache-releases-patch