- по возможности установить самую последнюю версию 2.15.0. библиотеки Apache Log4j;
- если библиотека используется в стороннем продукте, необходимо установить обновления от поставщика программного обеспечения;
- следуйте рекомендациям проекта Apache Log4j: https://logging.apache.org/log4j/2.x/security.html.
Новости
Уязвимость «нулевого дня» CVE-2021-44228
- Подробности
В базе данных общеизвестных уязвимостей информационной безопасности CVE (Common Vulnerabilities and Exposures) опубликована информация об обнаружении в библиотеке Apache Log4j критической уязвимости, получившей номер CVE-2021-44228 с уровнем критичности CVSS 10 из 10.
Данная угроза, также известная как Log4Shell или LogJam, представляет собой уязвимость удаленного выполнения кода REC (Remote Code Execution).
Использование злоумышленником данной уязвимости на целевом сервере позволяет выполнить произвольный код и потенциально получить полный контроль над системой.
Информация об уязвимости доступна по адресу: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
Компания SWIFT выпустила соответствующий информационный бюллетень 10129, доступный на портале SWIFT ISAC (www2.swift.com/isac).
Общие рекомендации по противодействию:
Дмитрий Морозов, "Транзакт Про"
Чернова М.П., "Банк Объединенный Капитал"