Paylaşım Yap
Tüm Reklamları Kapat
Sorulara Dön
Ali Koca
Üye
1

Log4J zafiyeti nasıl daha önceden bulunamadı?

Bu kadar zayıf ve tehlikeli bir zafiyet sanki şans eseri bulunmuş gibi değil mi?
668 görüntülenme
0
  • Paylaş
  • Alıntıla
  • Alıntıları Göster
  • Dış Sitelerde Paylaş
  • Soruyu Takip Et
  • Raporla
  • Mantık Hatası Bildir
Tüm Reklamları Kapat
1 Cevap
Mehmet Kesici
Developer, Araştırmacı

Evet, güzel bir soru sormuşsunuz. Böyle bir büyük bir açığı uzun zamandır görmemiştim. Hatta bunu ben değil, bir siber güvenlik firması olan "Tenable" son 10 yılın en kapsamlı/riskli zafiyeti olarak belirtiyor. Gerçekten de öyle. Bu zafiyetin tehlike skoru 10/10 çünkü uzaktan kod yürütebilmesine direkt olarak olanak sağlıyor. Bu açığı ilk saptayan kurum "Alibaba Group"un siber güvenlik departmanı. Yani aslına baktığımızda her zafiyet şans eseri mantığında bulunur(zafiyetler çok spesifik ve derin düşünce gerektiriyor olsa da milyonlarca insanın üzerinde rasgele çalışmasıyla zafiyet saptamaları kolay olmakta). Önümüzde ki 300 satırlık kod parçasını 5 sene her gün okusakta, bir gün gelir 5 senedir görmediğimiz bir mantıksızlığı/açığı farklı bir açıdan baktığımızda görmüş oluruz.

Aslına baktığımızda bunun gibi zafiyetler her gün hatta her saat başı keşfediliyor fakat asıl sıkıntı bu açığın belirli bir versiyonda değil bütün kütüphaneyi kapsaması.

Tüm Reklamları Kapat

Log4j kütüphanesi nedir ?

  • Apache Log4j , orijinal olarak Ceki Gülcü (Türk) tarafından yazılmış Java tabanlı bir günlük tutma aracıdır. Apache Software Foundation'ın bir projesi olan Apache Logging Services'in bir parçasıdır . Log4j, birkaç Java günlüğe kaydetme çerçevesinden biridir.

Her ne kadar zafiyet açığına hemen müdahale edilip (Java açık kaynaktır, topluluk tarafından geliştirilir) zafiyet yamalanmış olsa da bu olay tam anlamıyla bir siber pandemi atmosferi yaratacak, bundan eminim ve etkileri en az 5-10 sene, hatta çok daha fazla sürecektir. Bunun sebebi ise eski cihazlardır. Kullanılmayan, kıyıda köşede duran, çok eski üretimli olan o kadar çok cihaz var ki söylemesi bile zor. Bunların içinde haliyle eski versiyon bir Java olduğunda içinde ki log4j kütüphanesi de zafiyetli olduğu için bu zafiyetin ömrü ve etkisi oldukça uzun sürecek gibi duruyor :)

331 görüntülenme
1
0
  • Paylaş
  • Alıntıla
  • Alıntıları Göster
  • Dış Sitelerde Paylaş
  • Raporla
  • Mantık Hatası Bildir
Daha Fazla Cevap Göster
Cevap Ver
Evrim Ağacı Soru & Cevap Platformu, Türkiye'deki bilimseverler tarafından kolektif ve öz denetime dayalı bir şekilde sürdürülen, özgür bir ortamdır. Evrim Ağacı tarafından yayınlanan makalelerin aksine, bu platforma girilen soru ve cevapların içeriği veya gerçek/doğru olup olmadıkları Evrim Ağacı yönetimi tarafından denetlenmemektedir. Evrim Ağacı, bu platformda yayınlanan cevapları herhangi bir şekilde desteklememekte veya doğruluğunu garanti etmemektedir. Doğru olmadığını düşündüğünüz cevapları, size sunulan denetim araçlarıyla işaretleyebilir, daha doğru olan cevapları kaynaklarıyla girebilir ve oylama araçlarıyla platformun daha güvenilir bir ortama evrimleşmesine katkı sağlayabilirsiniz.
Popüler Yazılar
30 gün
90 gün
1 yıl
Evrim Ağacı'na Destek Ol

Evrim Ağacı'nın %100 okur destekli bir bilim platformu olduğunu biliyor muydunuz? Evrim Ağacı'nın maddi destekçileri arasına katılarak Türkiye'de bilimin yayılmasına güç katın.

Evrim Ağacı'nı Takip Et!
Aklımdan Geçen
Komünite Seç
Aklımdan Geçen
Fark Ettim ki...
Bugün Öğrendim ki...
İşe Yarar İpucu
Bilim Haberleri
Hikaye Fikri
Video Konu Önerisi
Başlık
Gündem
Bugün bilimseverlerle ne paylaşmak istersin?
Bağlantı
Kurallar
Komünite Kuralları
Bu komünite, aklınızdan geçen düşünceleri Evrim Ağacı ailesiyle paylaşabilmeniz içindir. Yapacağınız paylaşımlar Evrim Ağacı'nın kurallarına tabidir. Ayrıca bu komünitenin ek kurallarına da uymanız gerekmektedir.
1
Bilim kimliğinizi önceleyin.
Evrim Ağacı bir bilim platformudur. Dolayısıyla aklınızdan geçen her şeyden ziyade, bilim veya yaşamla ilgili olabilecek düşüncelerinizle ilgileniyoruz.
2
Propaganda ve baskı amaçlı kullanmayın.
Herkesin aklından her şey geçebilir; fakat bu platformun amacı, insanların belli ideolojiler için propaganda yapmaları veya başkaları üzerinde baskı kurma amacıyla geliştirilmemiştir. Paylaştığınız fikirlerin değer kattığından emin olun.
3
Gerilim yaratmayın.
Gerilim, tersleme, tahrik, taciz, alay, dedikodu, trollük, vurdumduymazlık, duyarsızlık, ırkçılık, bağnazlık, nefret söylemi, azınlıklara saldırı, fanatizm, holiganlık, sloganlar yasaktır.
4
Değer katın; hassas konulardan ve öznel yoruma açık alanlardan uzak durun.
Bu komünitenin amacı okurlara hayatla ilgili keyifli farkındalıklar yaşatabilmektir. Din, politika, spor, aktüel konular gibi anlık tepkilere neden olabilecek konulardaki tespitlerden kaçının. Ayrıca aklınızdan geçenlerin Türkiye’deki bilim komünitesine değer katması beklenmektedir.
5
Cevap hakkı doğurmayın.
Bu platformda cevap veya yorum sistemi bulunmamaktadır. Dolayısıyla aklınızdan geçenlerin, tespit edilebilir kişilere cevap hakkı doğurmadığından emin olun.
Ekle
Soru Sor
ve seni takip ediyor

Göster

Şifrenizi mi unuttunuz? Lütfen e-posta adresinizi giriniz. E-posta adresinize şifrenizi sıfırlamak için bir bağlantı gönderilecektir.

Geri dön

Eğer aktivasyon kodunu almadıysanız lütfen e-posta adresinizi giriniz. Üyeliğinizi aktive etmek için e-posta adresinize bir bağlantı gönderilecektir.

Geri dön

Close