Pojawiła się krytyczna podatność w popularnej bibliotece javowej Apache Log4j, służącej do logowania zdarzeń i wykorzystywanej w wielu usługach, przede wszystkim serwerowych.

Luka pozwala napastnikowi na wykonanie dowolnego kodu na serwerze z uprawnieniami, z którymi działa podatna aplikacja i nie wymaga posiadania konta w usłudze (uruchamiany kod zostaje przekazany jako część danych, które biblioteka zapisuje do plików logu – na przykład jako fragment żądania HTTP). Podatna jest biblioteka log4j w wersjach od 2.x do 2.14.1 i dopiero wersja 2.15.0 łata podatność.

W przypadku systemów z rodziny Unix/Linux fakt korzystania z biblioteki log4j można sprawdzić, wyszukując plików zawierających w nazwie log4j-core – np. tak:

$ find . -iname '*log4j-core*'

następnie należy zweryfikować wersję biblioteki. Można również sprawdzić, czy zarządzane usługi są podatne pod poniższymi odnośnikami:

Lista aplikacji wymagających uwagi jest bardzo długa, dlatego zalecamy Administratorom własnoręczną weryfikację zarządzanych usług.

Uaktualnienia opublikowano już m.in. dla Apache Solr, logstash, RedHat; podatne są m.in. Apache Struts, neo4j, w pewnych okolicznościach podatne być mogą np. produkty F-Secure, VMWare, Atlassiana.

Skrót informacji w języku polskim:

Zwracamy szczególną uwagę na konieczność regularnych aktualizacji oprogramowania systemowego i użytkowego, co pozwoli uchronić się przed znanymi podatnościami bezpieczeństwa, często używanymi w masowych atakach.