log4j adalah suatu kerentanan pada perangkat lunak Apache Java Logging Library buatan Apache Software Foundation yang dioperasikan utamanya pada MacOS, Windows, dan Linux. Penemuan kerentanan ini pertama kali pada 9 Desember 2021. Pada tanggal 10 Desember 2021, kerentanan log4j kemudian dituliskan sebagai CVE-2021-44228 dan disebut juga sebagai log4shell. Log4j digunakan sebagai paket logging dalam berbagai perangkat lunak populer yang berbeda oleh sejumlah produsen, termasuk Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter, dan permainan video seperti Minecraft. Kerentanan zero day pada Log4j memungkinkan penyerang untuk masuk ke dalam sistem tanpa autentikasi dan mengambil alih secara penuh server yang terdampak.[1][2]

Perkembangan Log4j

sunting

Pada 14 Desember 2021, kerentanan Log4j tambahan diidentifikasi sebagai CVE-2021-45046. Kerentanan tersebut ditemukan berdasarkan pembaruan Log4j versi 2.15.0 tidak sepenuhnya memitigasi kerentanan CVE-2021-44288 sebelumnya dengan konfigurasi non-default tertentu. Hal ini memungkinkan terjadinya RCE dan serangan Denial of Service. Kerentanan ini selanjutnya diperbaiki pada Log4j versi 2.16.0 untuk klien Java 8.[1]

Referensi

sunting
  1. ^ a b author, author (2021). Laporan Tahunan Monitoring Keamanan SIber 2021. Jakarta: DIREKTORAT OPERASI KEAMANAN SIBER BADAN SIBER DAN SANDI NEGARA. hlm. 124. 
  2. ^ lnn. "Waspada Log4j, Momok Baru Keamanan Siber Dunia - Halaman 2". teknologi. Diakses tanggal 2023-05-06.