Apache – Log4j Vulnerability
2021 yılının son günlerinde yaşadığımız yüksek kritiklik seviyesine sahip Apache-Log4j açığı sanırım tüm altyapı ekiplerini ciddi anlamda yormuştur. Sadece VMware ürünlerinde değil, sektörde kullanılan birçok ürün bu açıktan etkilenmişti. Açığın kapatıldığı “fixed version” dediğimiz uygulamaların güncellenmiş versiyonları da duyuru yapıldıktan kısa bir süre sonra yayınlanmıştı ama bazı durumlarda sistemlerimizde fixed versiyonlara geçemeyebiliyoruz, bunun kendi ortamlarınızda hizmet kesintisi alınması zorluğu, versiyon uyumluluk problemleri ve benzeri birçok nedeni olabilir. Bu tip durumlarda önerimiz hemen hızlıca açığı kapatmak için “workaround” ların uygulanmasıdır. Workaround ya da fixed (patch lenmiş) versiyona geçiş ile bu tip ciddi açıkların kapatılması herkes için çok önemlidir. Şunu unutmayın, bu açık internette duyrulduktan sonra, bu duyuruları sadece iyi insanlar okumuyor, kötü niyetli insanlarında bu açıktan haberi oluyor ve sistemlerinizde bu açıkların olup olmadığını kontrol etmeye başlıyorlar. O yüzden aksiyon almak, önlem almak önemli.
Log4j açığı ile ilgili detayları aşağıdaki VMware linklerinde bulabilirsiniz. VMSA-2021-2028 bu konuda ana dökümandır ve sayfaya ulaştığınızda, aşağı kısmında hangi ürünlerin etkilendiğini, workaround ve fixed versiyon bilgilerini bulabilirsiniz.
VMSA-2021-0028: Link
VMSA-2021-0028: Questions & Answers about Log4j: Link