CVE-2021-44228 – log4j - Laporan Kerentanan
(unit42.paloaltonetworks.com)Kerentanan telah dilaporkan pada log4j, framework logging untuk Java.
-
Versi yang terdampak: 2.0 ~ 2.14.1
-
Versi perbaikan >= 2.15.0-rc1
-
Disarankan untuk menerapkan patch pada semua sistem yang menggunakan library Apache log4j
-
Contoh yang terdampak secara umum
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 komentar
Ah, jadi log4j itu fungsi untuk logging?
Dari namanya saja kukira itu math log4
Ini adalah bug yang memungkinkan Remote Code Execution (RCE) jika konten yang berisi string tertentu dicatat ke log.
Sementara itu, tampaknya ada juga orang yang memanfaatkan celah keamanan ini untuk mengubah server Minecraft menjadi server Doom. Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
Wkwkwk, sampai nge-port Doom ke server Minecraft juga..
Karena cakupan dampaknya memang sangat luas, media dalam negeri tampaknya sibuk memancing klik dengan judul seperti “kerentanan terburuk yang ditemukan dalam sejarah komputer”...
Di antara produk yang terdampak, ada banyak yang namanya saja sudah sangat dikenal, jadi tampaknya cakupan dampaknya juga sangat besar.
Cara mereproduksi kerentanannya dijelaskan dalam artikel di bawah ini.
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
Untuk SpringBoot, sebaiknya ikuti langkah pada tautan di bawah ini.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'