Zranitelnost Apache Log4j - Log4Shell: CVE-2021-44228, CVE-2021-45046
17. 12. 2021Apache Log4j je open source nástroj pro logování aplikací vyvíjen společností Apache Software Foundation. Log4j je integrován do systému a technologií, které jsou kolem nás a mnohé z nich denně používáme v běžném životě.
Prvotní problém označen jako CVE-2021-44228 byl rozšířen o zranitelnost s označením CVE-2021-45046. Zranitelnost umožňuje spuštění cizího fragmentu(Exploit) na straně serveru a tím získat přístup k samotnému serveru nebo souborům obsahující soukromé data uživatelů. Jedná se o jednu z nejzávažnějších bezpečnostních chyb v digitálním světě označenou NIST hodnocením 10 z 10. Problém vyřešíte včasnou aktualizací na verzi 2.16.
Jak analyzovat problém:
https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Núkib, reaktivního opatření:
https://www.nukib.cz/download/uredni_deska/2021-12-15_RO-NUKIB-Log4Shell.pdf
Aktualizace
Google Cloud - Detecting Log4Shell exploits:
https://cloud.google.com/logging/docs/log4j2-vulnerability
Zpětná analýza dopadu dle společnosti Google:
https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
