Open source knihovna Apache s logovacím systémem Log4j – CVE-2021-44228
Bezpečnostní hrozba CVE-2021-44228 ohrožuje všechny verze Apache log4j od 2.0 do 2.14.1. Aktualizace pro Apache již byla vydána. Nejprve se doporučovalo aktualizovat knihovnu na verzi 2.15.0, ale vývojáři Log4j zjistili, že vypnutí zranitelné funkčnosti parametrem „log4j2.formatMsgNoLookups=True“ není dostatečné, a tak vydali novou verzi Log4j (2.16.0), kde prozatím danou funkčnost úplně odstranili.
Doporučujeme aktualizaci Log4j knihovny na verzi 2.16.0.
Volně dostupný Log4j jedním z nejpoužívanějších logovacích systémů. Jak říká ředitel výzkumu malwaru v Avastu Jakub Křoustek: „Log4Shell je problematická především proto, že je velmi obtížné zjistit, kde všude se zranitelná verze knihovny Log4j nachází. Poskytovatelé softwaru sice nemusejí používat přímo knihovnu Log4j, ale ta může být součástí jiné použité knihovny. Znamená to, že Log4j musí vývojáři aktualizovat opravdu všude.“ Dle novinek.cz je Česko 8. nejpostiženější zemí.
Zneužití zranitelnosti lze ověřit vyhledáním pomocí následujících příkazů:
LINUX:
ps aux | egrep '[l]og4j'
find / -iname "log4j*"
lsof | grep log4j
grep -r --include *.[wj]ar "JndiLookup.class" / 2>&1 | grep matches
WINDOWS – příkaz powershell:
gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Path
Další informace k vyhledání zranitelnosti jsou dostupné na: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b