Як ви, можливо, знаєте, у бібліотеці Apache Log4j було виявлено критичну вразливість нульового дня. Ця загроза є вразливістю віддаленого виконання коду. Якщо зловмиснику вдасться проексплуатувати її на вразливому сервері, з’явиться можливість виконати довільний код і потенційно отримати повний контроль над системою.
Цій вразливості надано статус CVE-2021-44228, і в різних блогах та звітах вона зазвичай згадується як «Log4Shell».
- Перелік вразливих продуктів: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592?s=09
- CVE-2021-44228 у бібліотеці Java: https://www.fortiguard.com/outbreak-alert/log4j2-vulnerability
- Докладніше про Apache Log4J (CVE-2021-44228): https://www.fortiguard.com/threat-signal-report/4335/apache-log4j-remote-code-execution-vulnerability-cve-2021-44228
Способи зниження ризику CVE-2021-44228
Для усунення вразливості необхідно якнайшвидше оновити Log4j до версії 2.15.0.
Зверніть увагу: пом’якшення наслідків з використанням Log4j версії 2.15.0 працює тільки у поєднанні з Java 8. Користувачі з ранніми версіями Java (6 або 7) повинні будуть застосувати тимчасові заходи, описані нижче, під час перезавантаження у певних сценаріях (це не довгострокове рішення, якщо не використовується правильна комбінація Log 2.15.0+ та Java 8).
Крім того, було кілька різних незалежних джерел, які опублікували потенційні тимчасові заходи щодо пом’якшення наслідків, пов’язані зі зміною файлів конфігурації.
- Для версій >= 2.10 користувачі можуть встановити log4j2.formatMsgNoLookups значення true..
- Для версій >= 2.10 також установіть LOG4J_FORMAT_MSG_NO_LOOKUPS значення true.
- Для версій 2.0-beta9 – 2.10.0 видаліть JndiLookup.class зі шляху: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Оскільки ця ситуація є динамічною, ми продовжуємо активно відстежувати нові розробки та при необхідності надамо своїм клієнтам подальші оновлення статусу та рекомендації.