2021 Aralık ayı başları. Bir güvenlik açığı yayınlandı. Buna CVE-2021-44228 denir. Federal Bilgi Güvenliği Ofisi (BSI), kırmızı seviyeli bir bilgi güvenliği uyarısı yayınlar. kritik risk. 10 üzerinden 10 CVSSv3 puanı. Der Spiegel “Yanan bir İnterneti nasıl söndürürsünüz” diye yazıyor ve 13 Aralık 2021 tarihli Tagesschau’da Log4Shell’den bile bahsediliyor.
Ne oldu?
Açık kaynaklı Java kitaplığı Log4j’deki güvenlik açığı çok dramatikti çünkü birçok Java uygulamasında kullanılıyor ve kimsenin nerede olduğuna dair bir bilgisi yoktu. Sonuç olarak, dünyanın dört bir yanındaki yazılım satıcıları ve BT departmanları çılgınca uygulamalarının etkilenip etkilenmediğini araştırıyorlardı.
Bir açık kaynak kitaplığındaki bir güvenlik açığının BT departmanlarını fazla mesai yapmaya zorlaması ilk kez olmuyordu. Ama bundan ne öğrendik? Önümüzdeki sıfır gün zafiyetinde daha verimli hareket edebilmek için hangi bilgiler elde edildi ve hangi önlemler alındı? Hangi ürünlerin belirli bir sürümde kitaplık kullandığını öğrenmenin daha hızlı bir yolu var mı?
Kesin teknik neden ve Log4j güvenlik açığından nasıl yararlanılabileceği bu makalenin kapsamı dışındadır. Daha ziyade, yazılım tedarik zincirindeki riskleri erken bir aşamada belirlemek için sürekli bir yazılım kompozisyon analizinin (SCA) nasıl kurulabileceğini göstermekle ilgilidir.
Son aylarda, yazılım tedarik zincirinde, genellikle Log4j gibi dünya çapında birçok yazılım ürününde kullanılan açık kaynak kitaplıklarında giderek daha fazla sayıda ciddi güvenlik açığı ortaya çıktı. Log4j vakası nihayetinde yazara, yazılım tedarik zincirindeki riskleri daha hızlı ve daha verimli bir şekilde belirlemeye yardımcı olacak önlemleri düşünme ve uygulama gücü verdi.
Ne yapmalıyım?
İlk olarak, hangi ürünlerin etkilendiğini ve boşluğu doldurmak için yamaların mevcut olup olmadığını bulmak önemlidir. Log4j geliştirme ekibi hızla yeni bir sürüm yayınladı. Ancak bunu daha fazla iyileştirme izledi ve bu da BT departmanlarının birden çok kez yama yapmak zorunda kalmasına neden oldu.
Evde geliştirilen uygulamalar için Maven POM dosyalarını inceleyerek Log4j’nin nerede kullanıldığını öğrenebilirsiniz. Satın alınan yazılımda, kaynak kodu genellikle bulunmadığından bu zordur. Bu gibi durumlarda, ürünün güvenliğinin ihlal edilip edilmediğini ve ne zaman bir yama bekleneceğini belirlemek için üreticilerle iletişime geçmelisiniz. Bazı üreticiler, ürünleri ilgi görürse web sitelerinde aktif olarak reklam veriyor. Genellikle sadece yeşil ışık yakmak için.
Ancak birçok kullanıcı kuruluşunda, etkilendiğinden şüphelendikleri ürünlerden kimin sorumlu olduğu ve bilgi ve yamaları kimin araması gerektiği açık değildir. BT operasyonları genellikle sadece yazılımı kurar ve uygulamalarla çalışan departmanlar gerekli uzmanlıktan yoksundur. Bu nedenle, satın alınan yazılım için ürün sahipleri belirlemek mantıklı olabilir.
Log4Shell söz konusu olduğunda, Traefik ters proxy ve yük dengeleyici ara yazılım eklentisi gibi altyapıyı hızla sağlamlaştıran araçlar kullanıma sunuldu. Ek olarak, etkilenen bireyler, bayrak gibi güvenlik açığının kötüye kullanılmasını engellemeyi amaçlayan güvenli yapılandırma önlemleri konusunda özel yardım aldı. log4j.formatMsgNoLookup=true. Bir web uygulaması güvenlik duvarının kullanıcıları, en azından saldırıları tespit edip engelleyebilmeyi umabilir. Şimdiye kadar bahsedilen önlemler etkisiz kalırsa, son çare şuydu: Kapatın!
Giderek daha fazla bilgi. BT ve teknoloji için dijital abonelik.
Isıtıcı Fanları Oluşturun: Bulutlu ve bulutsuz fan kontrolünü uygulayın
Bu gönderide, bir odayı daha hızlı ısıtmaya yardımcı olacak zanaat kutusu parçalarına sahip duvara monte radyatörler için bir ek sunuyoruz.
dergi yapmak
Verileri şifreli USB ortamına kaydeden herkes, bu verilerin ancak şifreyi girdikten sonra çıkmasını bekler. Bunun da doğru olup olmadığını kontrol edelim.
dergi
En iyi kablosuz kulak içi kulaklıklar harika ses, güçlü aktif gürültü önleme ve kablosuz özgürlük vaat ediyor. On kablosuz kulaklığı test ettik.
dergi
Schufa kredi değerliliğinizi nasıl hesaplar?
Schufa, kredi itibarınızı belirleyen formülü gizli tutar. Sistemi açıklıyoruz ve olumsuz incelemelerden nasıl kaçınılacağına dair ipuçları veriyoruz.
dergi
R programlama dili, büyük miktarda veriyi görselleştirmek için idealdir. Örneğin şehirler için sıcaklık grafikleri oluşturabilirsiniz.
sıcak çevrimiçi
20 watt acil durum manuel jeneratörü test ediliyor
Elektrik kesintisi korkusu arttığından, cep telefonlarını ve tabletleri şarj etmek için elle çalıştırılan jeneratörler reklamlarda giderek daha fazla yer almaya başladı. Nepp veya acil durum konseyi?
dergi
Haberin Sonu
Ne oldu?
Açık kaynaklı Java kitaplığı Log4j’deki güvenlik açığı çok dramatikti çünkü birçok Java uygulamasında kullanılıyor ve kimsenin nerede olduğuna dair bir bilgisi yoktu. Sonuç olarak, dünyanın dört bir yanındaki yazılım satıcıları ve BT departmanları çılgınca uygulamalarının etkilenip etkilenmediğini araştırıyorlardı.
Bir açık kaynak kitaplığındaki bir güvenlik açığının BT departmanlarını fazla mesai yapmaya zorlaması ilk kez olmuyordu. Ama bundan ne öğrendik? Önümüzdeki sıfır gün zafiyetinde daha verimli hareket edebilmek için hangi bilgiler elde edildi ve hangi önlemler alındı? Hangi ürünlerin belirli bir sürümde kitaplık kullandığını öğrenmenin daha hızlı bir yolu var mı?
Kesin teknik neden ve Log4j güvenlik açığından nasıl yararlanılabileceği bu makalenin kapsamı dışındadır. Daha ziyade, yazılım tedarik zincirindeki riskleri erken bir aşamada belirlemek için sürekli bir yazılım kompozisyon analizinin (SCA) nasıl kurulabileceğini göstermekle ilgilidir.
Son aylarda, yazılım tedarik zincirinde, genellikle Log4j gibi dünya çapında birçok yazılım ürününde kullanılan açık kaynak kitaplıklarında giderek daha fazla sayıda ciddi güvenlik açığı ortaya çıktı. Log4j vakası nihayetinde yazara, yazılım tedarik zincirindeki riskleri daha hızlı ve daha verimli bir şekilde belirlemeye yardımcı olacak önlemleri düşünme ve uygulama gücü verdi.
Ne yapmalıyım?
İlk olarak, hangi ürünlerin etkilendiğini ve boşluğu doldurmak için yamaların mevcut olup olmadığını bulmak önemlidir. Log4j geliştirme ekibi hızla yeni bir sürüm yayınladı. Ancak bunu daha fazla iyileştirme izledi ve bu da BT departmanlarının birden çok kez yama yapmak zorunda kalmasına neden oldu.
Evde geliştirilen uygulamalar için Maven POM dosyalarını inceleyerek Log4j’nin nerede kullanıldığını öğrenebilirsiniz. Satın alınan yazılımda, kaynak kodu genellikle bulunmadığından bu zordur. Bu gibi durumlarda, ürünün güvenliğinin ihlal edilip edilmediğini ve ne zaman bir yama bekleneceğini belirlemek için üreticilerle iletişime geçmelisiniz. Bazı üreticiler, ürünleri ilgi görürse web sitelerinde aktif olarak reklam veriyor. Genellikle sadece yeşil ışık yakmak için.
Ancak birçok kullanıcı kuruluşunda, etkilendiğinden şüphelendikleri ürünlerden kimin sorumlu olduğu ve bilgi ve yamaları kimin araması gerektiği açık değildir. BT operasyonları genellikle sadece yazılımı kurar ve uygulamalarla çalışan departmanlar gerekli uzmanlıktan yoksundur. Bu nedenle, satın alınan yazılım için ürün sahipleri belirlemek mantıklı olabilir.
Log4Shell söz konusu olduğunda, Traefik ters proxy ve yük dengeleyici ara yazılım eklentisi gibi altyapıyı hızla sağlamlaştıran araçlar kullanıma sunuldu. Ek olarak, etkilenen bireyler, bayrak gibi güvenlik açığının kötüye kullanılmasını engellemeyi amaçlayan güvenli yapılandırma önlemleri konusunda özel yardım aldı. log4j.formatMsgNoLookup=true. Bir web uygulaması güvenlik duvarının kullanıcıları, en azından saldırıları tespit edip engelleyebilmeyi umabilir. Şimdiye kadar bahsedilen önlemler etkisiz kalırsa, son çare şuydu: Kapatın!
Giderek daha fazla bilgi. BT ve teknoloji için dijital abonelik.
Isıtıcı Fanları Oluşturun: Bulutlu ve bulutsuz fan kontrolünü uygulayın
Bu gönderide, bir odayı daha hızlı ısıtmaya yardımcı olacak zanaat kutusu parçalarına sahip duvara monte radyatörler için bir ek sunuyoruz.
dergi yapmak
Elektrik hakkında bilmeniz gerekenler
Verileri şifreli USB ortamına kaydeden herkes, bu verilerin ancak şifreyi girdikten sonra çıkmasını bekler. Bunun da doğru olup olmadığını kontrol edelim.
dergi
Testte donanım şifrelemeli USB bellek
En iyi kablosuz kulak içi kulaklıklar harika ses, güçlü aktif gürültü önleme ve kablosuz özgürlük vaat ediyor. On kablosuz kulaklığı test ettik.
dergi
Schufa kredi değerliliğinizi nasıl hesaplar?
Schufa, kredi itibarınızı belirleyen formülü gizli tutar. Sistemi açıklıyoruz ve olumsuz incelemelerden nasıl kaçınılacağına dair ipuçları veriyoruz.
dergi
Ellerinizi Klarna, PayPal & Co’dan ne zaman uzak tutmalısınız?
R programlama dili, büyük miktarda veriyi görselleştirmek için idealdir. Örneğin şehirler için sıcaklık grafikleri oluşturabilirsiniz.
sıcak çevrimiçi
20 watt acil durum manuel jeneratörü test ediliyor
Elektrik kesintisi korkusu arttığından, cep telefonlarını ve tabletleri şarj etmek için elle çalıştırılan jeneratörler reklamlarda giderek daha fazla yer almaya başladı. Nepp veya acil durum konseyi?
dergi
Haberin Sonu