NÚKIB varuje: Pozor na Log4shell

Open source knihovna Apache s logovacím systémem Log4j – CVE-2021-44228

Bezpečnostní hrozba CVE-2021-44228 ohrožuje všechny verze Apache log4j od 2.0 do 2.14.1. Aktualizace pro Apache již byla vydána. Nejprve se doporučovalo aktualizovat knihovnu na verzi 2.15.0, ale vývojáři Log4j zjistili, že vypnutí zranitelné funkčnosti parametrem „log4j2.formatMsgNoLookups=True“ není dostatečné, a tak vydali novou verzi Log4j (2.16.0), kde prozatím danou funkčnost úplně odstranili.

Doporučujeme aktualizaci Log4j knihovny na verzi 2.16.0.

Volně dostupný Log4j jedním z nejpoužívanějších logovacích systémů. Jak říká ředitel výzkumu malwaru v Avastu Jakub Křoustek: „Log4Shell je problematická především proto, že je velmi obtížné zjistit, kde všude se zranitelná verze knihovny Log4j nachází. Poskytovatelé softwaru sice nemusejí používat přímo knihovnu Log4j, ale ta může být součástí jiné použité knihovny. Znamená to, že Log4j musí vývojáři aktualizovat opravdu všude.“ Dle novinek.cz je Česko 8. nejpostiženější zemí.

Zneužití zranitelnosti lze ověřit vyhledáním pomocí následujících příkazů:

LINUX:

ps aux | egrep '[l]og4j'
find / -iname "log4j*"
lsof | grep log4j
grep -r --include *.[wj]ar "JndiLookup.class" / 2>&1 | grep matches

WINDOWS – příkaz powershell:

gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Path

Další informace k vyhledání zranitelnosti jsou dostupné na: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Sdílet aktualitu:

Nezmeškejte novinky

Neodkládejte řešení technologických problémů.
Spojte se se zkušeným partnerem, který je vyřeší za vás.