Zranitelnost Apache Log4j - Log4Shell: CVE-2021-44228, CVE-2021-45046

17. 12. 2021

Apache Log4j je open source nástroj pro logování aplikací vyvíjen společností Apache Software Foundation. Log4j je integrován do systému a technologií, které jsou kolem nás a mnohé z nich denně používáme v běžném životě.

Prvotní problém označen jako CVE-2021-44228 byl rozšířen o zranitelnost s označením CVE-2021-45046. Zranitelnost umožňuje spuštění cizího fragmentu(Exploit) na straně serveru a tím získat přístup k samotnému serveru nebo souborům obsahující soukromé data uživatelů. Jedná se o jednu z nejzávažnějších bezpečnostních chyb v digitálním světě označenou NIST hodnocením 10 z 10. Problém vyřešíte včasnou aktualizací na verzi 2.16.

Jak analyzovat problém:

https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Núkib, reaktivního opatření:

https://www.nukib.cz/download/uredni_deska/2021-12-15_RO-NUKIB-Log4Shell.pdf

Aktualizace

Google Cloud - Detecting Log4Shell exploits:

https://cloud.google.com/logging/docs/log4j2-vulnerability

Zpětná analýza dopadu dle společnosti Google:

​​https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html

Nejnovější příspěvky