En İyi Sorular
Zaman Çizelgesi
Sohbet
Bakış Açıları
Log4j
Vikipedi'den, özgür ansiklopediden
Remove ads
Log4j, tam adıyla "Logging for Java", Ceki Gülcü ve iki meslektaşı tarafından 1997 yılında İsviçre Rüschlikon'da IBM Araştırma Laboratuvarında kendi projelerinde bir loglama sistemine ihtiyaç duymaları üzerine yaratılmış, Java için bir loglama kütüphanesidir.[2] 2000 yılında IBM tarafından Apache Yazılım Vakfına bağışlanmıştır. [2][3]
Apache bünyesinde Log4j'yi gönüllü olarak geliştirmeye devam eden Ceki Gülcü, 2006 yılında Apache'den ve Log4J geliştirme ekibinden ayrılmıştır.[2]
Bireysel olarak loglayıcı kütüphaneleri geliştirmeye devam eden Gülcü, SLF4J, Reload4j[4] ve Logback[5] adlarında, Log4j'ye alternatif Java loglama kütüphaneleri geliştirmiştir.[2] Bu alternatif projeler, Log4j 2 ile beraber bugün en yaygın kullanılan Java loglayıcı kütüphaneleri arasındadır.[6]
2012 yılında Apache tarafından Log4j yeniden dizayn edildi ve önceki sürümlerdeki pek çok hatanın giderildiği, daha gelişmiş özelliklerin eklendiği Log4j 2 yayınlandı.[7] 2015 yılında eski Log4j 1.X sürümlerinin artık desteklenmeyeceği duyuruldu ve kullanıcılara Log4j 2'ye güncellemeleri önerildi[8]
Remove ads
Log4Shell zafiyeti
Özetle
Bakış açısı
9 Aralık 2021 tarihinde, Alibaba Cloud Güvenlik Takımı tarafından yapılan araştırmada, Log4j 2.0.0 versiyonundan itibaren ileriye dönük bütün versiyonlarda, saldırganların uzaktan kod çalıştırmasını mümkün kılan bir sıfır-gün açığı keşfedildi. Güvenlik takımı bu zafiyete Log4Shell adını vermiştir.[9] Amerikanın en büyük siber güvenlik şirketlerinden Tenable bu durumu "son 15 yılın en büyük ve en kritik güvenlik açığı" olarak tanımlamıştır.[10] Apache, zafiyetin en yüksek CVSS tehlike derecesi olan 10 puan olduğunu açıkladı.[11] Uzmanlara göre kötü aktörlerin bu zafiyeti kullanarak bir saldırı gerçekleştirmesi oldukça kolaydı ve yüz milyonlarca cihaz bu açıktan etkilenmişti.[12][13]
Zafiyet kamuoyuna duyurulmadan 3 gün önce yayınlanan sürüm, 2.15.0-rc1 ile açık giderilmiş olsa da,[14][15] vaktinde güvenli sürüme geçiş yapamayan pek çok şirket bu zafiyetten faydalanan Fidye yazılımların hedefi olmaktan kurtulamadı. Arctic Wolf Sibergüvenlik şirketinin araştırmasına göre, bu zafiyetin etkilenen işletmelere ortalama zararı 90.000$ olarak belirlendi.[16] İlerleyen süreçte, aynı yıl yapılan detaylı tahkikatlarda, kütüphanede iki farklı kritik güvenlik açığı daha tespit edildi [17]
Remove ads
Reload4j
12 Ocak 2022 tarihinde, uzun yıllardır proje ekibinde olmayan, projenin ilk yaratıcısı Ceki Gülcü; desteği sonra ermiş ve 2013'ten bu yana çözülmesi gereken pek çok hata birikmiş eski versiyon olan 1.2.17 sürümünü düzeltmek amacıyla çatallayarak, Reload4j isimli yeni bir sürüm oluşturdu.[4]
Geliştirici Ceki Gülcü, Reload4j proje sayfasında Log4Shell zafiyeti hakkında şu ifadeleri kullandı:[4]
| “ | Not edilmelidir ki ne log4j 1.X sürümleri ne de reload4j yazılımı, mesaj arama özellikleri içermediğiden, Log4Shell olarak bilinen ünlü güvenlik açığından şuanda da, geçmişte de etkilenmemiştir. | „ |
Remove ads
Özellikler
Log4j Log Katmanları
Ceki Gülcü'ye göre bu projenin bu kadar popülerleşmesinin ana sebebi, kendi değimiyle "akıllıca bir fikir" olan katman tabanlı yapısıdır.[2] Kullanıcı hangi katmanlar için log tutulacağını belirleyebilir. Katman büyüdükçe bilgi akışı da büyük ölçüde artar.
Aşağıdaki tabloda, soldaki sütunda katmanların isimleri, sağdaki sütunda ise basitçe her katmanın ne tür bilgiler için kullanıldığı gösterilmiştir.
Kaynakça
Dış Bağlantılar
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads