The Apache Software Foundation kompaniýasy Java Log4j kitaphanasynda uzaklykdan kod ýerine ýetirmek gowşaklygyny (CVE-2021-44228) düzedýän gyssagly ýagdaýda howpsuzlyk täzelenmesini çykardy – apache.org.

Log4Shell diýlip atlandyrylýan bu gowşaklyk Log4j kitaphanasy bilen işleýän Java esasly programmalaryň we serwerleriň içerki ulgamlarynda belli bir kod setiri ýerleşdirmek arkaly ulanylyp bilner. Haçan-da programma ýa-da serwer loglarynyň üstünde işlände, bu kod setiri gowşak ulgama zyýanly skripti ýükläp, ýaramaz niýetli ulanyjylar tarapyndan dolandyrylýan domenden işledilip bilner. Netijede, ýaramaz niýetli ulanyjylar programmany ýa-da serweri ele geçirip bilerler.

Log4Shell gowşaklygy üçin CVSSv3-görkezijisi boýunça iň ýokary, ýagny 10 dereje berildi. CVE-2021-44228 gowşaklygy 2.0-beta-9 wersiýasyndan 2.14.1 wersiýasyna çenli ähli log4j wersiýalaryna täsir edýär. Gowşaklyk log4j kitaphanasynyň 1 wersiýasynda ýüze çykarylmady we 2.15.0 wersiýasynda düzedildi.

Çeşme: securitylab.ru