12 poin oleh tkwlsrl 2021-12-11 | 7 komentar | Bagikan ke WhatsApp

Kerentanan telah dilaporkan pada log4j, framework logging untuk Java.

  • Versi yang terdampak: 2.0 ~ 2.14.1

  • Versi perbaikan >= 2.15.0-rc1

  • Disarankan untuk menerapkan patch pada semua sistem yang menggunakan library Apache log4j

  • Contoh yang terdampak secara umum

    • Apache Struts

    • Apache Solr

    • Apache Druid

    • Apache Flink

    • ElasticSearch

    • Flume

    • Apache Dubbo

    • Logstash

    • Kafka

    • Spring-Boot-starter-log4j2

7 komentar

 
v08zbv8fvlkjasdflkj 2021-12-13

Ah, jadi log4j itu fungsi untuk logging?

Dari namanya saja kukira itu math log4

 
xguru 2021-12-11

Ini adalah bug yang memungkinkan Remote Code Execution (RCE) jika konten yang berisi string tertentu dicatat ke log.

 
kunggom 2021-12-13

Sementara itu, tampaknya ada juga orang yang memanfaatkan celah keamanan ini untuk mengubah server Minecraft menjadi server Doom. Rip and Tear!

https://twitter.com/gegy1000/status/1469714451716882434

 
budlebee 2021-12-13

Wkwkwk, sampai nge-port Doom ke server Minecraft juga..

 
xguru 2021-12-11

Karena cakupan dampaknya memang sangat luas, media dalam negeri tampaknya sibuk memancing klik dengan judul seperti “kerentanan terburuk yang ditemukan dalam sejarah komputer”...

 
kunggom 2021-12-11

Di antara produk yang terdampak, ada banyak yang namanya saja sudah sangat dikenal, jadi tampaknya cakupan dampaknya juga sangat besar.

Cara mereproduksi kerentanannya dijelaskan dalam artikel di bawah ini.

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit

https://pcmag.com/news/…

 
tkwlsrl 2021-12-11

Untuk SpringBoot, sebaiknya ikuti langkah pada tautan di bawah ini.

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven

2.15.0

gradle

ext['log4j2.version'] = '2.15.0'