Apache “Log4j” kitabxanasında “DOS” (xidmətdən imtina) hücumlarını həyata keçirməyə imkan verən növbəti təhlükəsizlik boşluğu aşkar edilib. Qeyd edək ki, daha öncə “Apache Foundation” tərəfindən “Log4j” kitabxanasında uzaqdan sistemə tam nəzarəti həyata keçirməyə imkan verən kritik təhlükəsizlik boşluğunu (CVE-2021-44228)  aradan qaldıran “2.15.0” versiyasını təqdim edilib. Daha ətraflı: https://cert.az/news/2021/xeberdarliq-log4j-kitabxanasinda-kritik-tehlukesizlik-boslugu

Müəyyən edilib ki, təqdim edilən son versiya sistemdə aşkar edilən bütün təhlükəsizlik boşluqlarının qarşısını almır. Yeni aşkar edilən təhlükəsizlik boşluğunu (CVE-2021-45046) istismar etməklə uzaqdan “DOS” hücumlarının həyata keçirilməsi mümkündür.  Müvafiq boşluq şirkət tərəfindən təqdim edilən “2.16.0” versiyasında aradan qaldırılıb.

Qeyd edək ki, “Log4j” müxtəlif xidmət və məhsullarda geniş istifadə olunur və sözügedən boşluq kənar şəxslər tərəfindən aktiv şəkildə istismar olunur.

Təsir görən versiyalar: 2.0-beta9 - 2.12.1 və 2.13.0 - 2.15.0 daxil olmaqla bütün "Log4j" versiyaları

Təsiri: “DOS” hücumlarının həyata keçirilməsi

Həlli: “Log4j” istifadə edən hər kəs ən qısa müddətdə məhsulu “2.16.0” versiyasına yeniləməlidir.

“Log4j” istifadə edən məhsulların müəyyən edilməsinə kömək məqsədilə tədqiqatçılar “Log4j” istifadə edən və təhlükəsizlik boşluqlarının təsir etdiyi proqram təminatlarının siyahısını təqdim edib. Siyahı ilə aşağıdakı keçiddən tanış ola bilərsiniz: https://github.com/cisagov/log4j-affected-db

Rəqəmsal İnkişaf və Nəqliyyat Nazirliyi yanında Elektron Təhlükəsizlik Xidməti istifadəçilərə və sistem inzibatçılarına kiber hücumlardan qorunmaq üçün ən qısa müddətdə müvafiq yeniləmələri tətbiq etmələrini tövsiyə edir.

Qeyd edək ki, bu kimi hallarda metodiki dəstək üçün www.cert.az rəsmi saytı və ya reports@cert.az e-poçtu vasitəsilə Elektron Təhlükəsizlik Xidmətinə müraciət edə bilərsiniz.