IBM Security следит за недавним раскрытием уязвимости Apache в библиотеке Java Log4j, получившей название Log4Shell (или LogJam). X-Force Exchange имеет более подробную информацию об эксплойте. Миллионы приложений используют библиотеку Log4j на основе Java для регистрации активности, включая несколько известных веб-сервисов. Apache выпустил патч с обновлением до последней версии Log4j 2.15.0.
Apache Log4j может позволить удаленному злоумышленнику выполнить произвольный код в системе из-за невозможности защиты от контролируемого злоумышленником LDAP и других оконечных точек, связанных с интерфейсом Java Naming Directory (JDNI), с помощью функций JNDI. Отправив специально созданную строку кода, злоумышленник может использовать эту уязвимость, чтобы загрузить произвольный код Java на сервер и получить полный контроль над системой.
В настоящее время IBM рекомендует организациям, использующим Apache Log4j, предпринять следующие действия:
- Проверьте наличие уязвимых версий Apache Log4j в вашей среде.
- Как можно скорее внедрите последнее исправление в производственную среду.