Критична ранливост на Java библиотека Log4J

Тековно се споделуваат примери за злоупотреба (exploit) на критична нова т.н. „0-day“ ранливост во библиотека за евидентирање базирана на Java, со назив Log4J. Log4J е развиено од Apache Foundation и нашироко се користи кај апликациите за бизнис-корисници и кај услугите во облак.

Иако Java сè помалку се користи кај апликации за крајни корисници, сеуште има широка примена кај корпоративниот софтвер, веб апликациите  и онлајн услугите. Ранливоста се однесува на т.н. Далечинско извршување на код (Remote Code Execution), означена како CVE-2021-44228 и наречена Log4Shell или LogJam, што овозможува целосно преземање на системи кај кои се користи Log4j од верзија 2.0-beta9 до 2.15.

Достапни се закрпи и ублажување

На корисниците на корпоративни апликации им се препорачува да ги следат известувањата од производителите за нови верзии и надградби и да постапат согласно напатствијата од производителите или добавувачите на софтверските решенија што се користат.

Apache објавува нови верзии на Log4j 2.17.0 за да се справи со RCE ранливостa CVE-2021-44228 и други. Пропустот може да се ублажи и во претходните верзии (2.10 и понови) со поставување на системското својство “log4j2.formatMsgNoLookups“ на „true“ или со отстранување на класата JndiLookup од класната патека.

Ажурирано на 18.12.2021 година:Ранливост CVE-2021-45105 од тип Denial of Service е исто така откриена кај верзиите на Log4J 2.0-beta9 до 2.16.0, што работат во ранлива (non-default) конфигурација

Apache Објавува листа на откриени ранливости за Log4J на следниот линк:

https://logging.apache.org/log4j/2.x/security.html

На оние што ја користат библиотеката им се советува да ja надградат до најновата верзија, бидејќи напаѓачите веќе бараат цели што можат да се искористат и забележани се масовни скенирања. Пред секоја надградба консултирајте се со експертите или поддршката за вашите апликации и софтверски решенија!

Извор: https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/

Check Also

MITRE ја објави својата годишна листа на Топ 25 „најопасни софтверски слабости“ за 2023 година.

“Овие слабости доведуваат до сериозни пропусти во софтверот“, соопшти американската Агенција за сајбер безбедност и …