Як ви, можливо, знаєте, у бібліотеці Apache Log4j було виявлено критичну вразливість нульового дня. Ця загроза є вразливістю віддаленого виконання коду. Якщо зловмиснику вдасться проексплуатувати її на вразливому сервері, з’явиться можливість виконати довільний код і потенційно отримати повний контроль над системою.
Цій вразливості надано статус CVE-2021-44228, і в різних блогах та звітах вона зазвичай згадується як «Log4Shell».
Для усунення вразливості необхідно якнайшвидше оновити Log4j до версії 2.15.0.
Зверніть увагу: пом’якшення наслідків з використанням Log4j версії 2.15.0 працює тільки у поєднанні з Java 8. Користувачі з ранніми версіями Java (6 або 7) повинні будуть застосувати тимчасові заходи, описані нижче, під час перезавантаження у певних сценаріях (це не довгострокове рішення, якщо не використовується правильна комбінація Log 2.15.0+ та Java 8).
Крім того, було кілька різних незалежних джерел, які опублікували потенційні тимчасові заходи щодо пом’якшення наслідків, пов’язані зі зміною файлів конфігурації.
Оскільки ця ситуація є динамічною, ми продовжуємо активно відстежувати нові розробки та при необхідності надамо своїм клієнтам подальші оновлення статусу та рекомендації.