Критична ранливост на Java библиотека Log4J

Тековно се споделуваат примери за злоупотреба (exploit) на критична нова т.н. „0-day“ ранливост во библиотека за евидентирање базирана на Java, со назив Log4J. Log4J е развиено од Apache Foundation и нашироко се користи кај апликациите за бизнис-корисници и кај услугите во облак.

Иако Java сè помалку се користи кај апликации за крајни корисници, сеуште има широка примена кај корпоративниот софтвер, веб апликациите  и онлајн услугите. Ранливоста се однесува на т.н. Далечинско извршување на код (Remote Code Execution), означена како CVE-2021-44228 и наречена Log4Shell или LogJam, што овозможува целосно преземање на системи кај кои се користи Log4j од верзија 2.0-beta9 до 2.15.

Достапни се закрпи и ублажување

На корисниците на корпоративни апликации им се препорачува да ги следат известувањата од производителите за нови верзии и надградби и да постапат согласно напатствијата од производителите или добавувачите на софтверските решенија што се користат.

Apache објавува нови верзии на Log4j 2.17.0 за да се справи со RCE ранливостa CVE-2021-44228 и други. Пропустот може да се ублажи и во претходните верзии (2.10 и понови) со поставување на системското својство “log4j2.formatMsgNoLookups“ на „true“ или со отстранување на класата JndiLookup од класната патека.

Ажурирано на 18.12.2021 година:Ранливост CVE-2021-45105 од тип Denial of Service е исто така откриена кај верзиите на Log4J 2.0-beta9 до 2.16.0, што работат во ранлива (non-default) конфигурација

Apache Објавува листа на откриени ранливости за Log4J на следниот линк:

https://logging.apache.org/log4j/2.x/security.html

На оние што ја користат библиотеката им се советува да ja надградат до најновата верзија, бидејќи напаѓачите веќе бараат цели што можат да се искористат и забележани се масовни скенирања. Пред секоја надградба консултирајте се со експертите или поддршката за вашите апликации и софтверски решенија!

Извор: https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/

Check Also

General Bytes Bitcoin банкомати хакирани со помош на zero-day, украдени 1,5 милиони долари

Водечкиот производител на Bitcoin банкомати General Bytes откри дека хакерите украле криптовалути од компанијата и …