Log4Shell-haavoittuvuuden toiminta ja seurausten ehkäiseminen

Koivusipilä, Hannes

View/Open

147.9 Kb

Downloads:

Show download details Hide download details

Authors

Koivusipilä, Hannes

Date

2022

Discipline

Tietotekniikka Mathematical Information Technology

Copyright

This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.

Laajalti käytetyssä Log4j-kirjastossa oli lähes vuosikymmenen ajan mielivaltaisen koodin suorittamisen mahdollistava haavoittuvuus. Julkisuuteen tultuaan Log4Shelliksi kastettu haavoittuvuus yllätti monet suuretkin kirjastoa käyttävät tahot housut kintuissa. Tutkielmassa tarkastellaan haavoittuvuuden mahdollistaman hyökkäysvektorin rakennetta sekä esitellään keinoja olemukseltaan ennalta-arvaamattomien nollapäivähaavoittuvuuksia hyödyntävien hyökkäysten torjumiseksi.

For almost a decade, the widely used Log4j library had a vulnerability that allowed arbitrary code execution. The vulnerability, named Log4Shell after it became public, caught even the largest companies using it flat-footed. This thesis examines the structure of the attack vector enabled by the vulnerability and presents ways to prevent unpredictable attacks that exploit zero-day vulnerabilities.