Apache Log4j JDBCAppender Güvenlik Zafiyeti

Apache Log4j JDBCAppender Vulnerability

Apache Log4j JDBCAppender ile ilgili olarak CVSS 3.1 skoru 9.8 olan kritik* bir güvenlik zafiyeti yayınlanmıştır.

Tasarım gereği, JDBCAppender bir SQL cümleciğini parametre olarak kabul etmektedir. Bu durum, bir saldırganın bu SQL cümleciğini manipüle ederek istenmeyen SQL sorgularını çalıştırılmasına sebep olabilmektedir.

Etkilenen Sistemler

Aşağıdaki sistemlerin etkilendiği belirtilmiştir;

• Apache Log4j 1.2.x

IoC’ler

-

Çözüm Önerileri

Aşağıda belirtilen güncelleme/işlemin yapılması önerilmiştir.
1. Log4j 2 versiyonuna güncellenmesi
2. JDBCAppender kullanımının konfigürasyon marifetiyle kullanımdan kaldırılması

CVE / CWE

CVE-2022-23305

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2022-23305
• https://www.openwall.com/lists/oss-security/2022/01/18/4
• https://lists.apache.org/thread/pt6lh3pbsvxqlwlp4c5l798dv2hkc85y
• https://logging.apache.org/log4j/1.2/index.html

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.