Tam, kad matyti svetainę pilnai ir taisyklingai, naršyklėje privalo veikti JavaScript. Jūsų naršyklė JavaScript nepalaiko arba JavaScript palaikymas naršyklėje yra išjungtas.

Kritinė saugumo spraga populiarioje Log4j bibliotekoje

2021-12-13

Log4j yra atviro kodo žurnalinių įrašų biblioteka labai plačiai naudojama įvairioje programinėje įrangoje ir debesijos paslaugose. Naujai aptikta saugumo spraga CVE-2021-44228 (pavadinta Log4Shell) leidžia vykdyti nuotolines komandas ar užvaldyti pažeidžiamą bibliotekos versiją naudojančius serverius, todėl būtina kuo skubiau atsinaujinti. Pasaulyje stebimas masinis šios saugumo spragos išnaudojimas, todėl papildomai rekomenduojame peržiūrėti atitinkamus žurnalinius įrašus ir atlikti kitus tyrimo veiksmus, siekiant nustatyti galimo įsibrovimo ir vykdytos kenkėjiškos veiklos požymių.

ATNAUJINTA #1: buvo nustatyta, kad, naudojant tam tikras konfigūracijas, išleistas Apache Log4j atnaujinimas 2.15.0 nepilnai apsaugo nuo aptiktų saugumo spragų, todėl buvo išleistos dvi naujos versijos kurios turėtų problemą išspręsti pilnai.
ATNAUJINTA #2: atrasta dar viena bibliotekos saugumo spraga (CVE-2021-45105), kuriai buvo išleistas naujas saugumo atnaujinimas.
ATNAUJINTA #3: aptikus dar daugiau saugumo spragų, buvo išleisti nauji saugumo atnaujinimai.

Kaip apsisaugoti:

Java 8 ir naujesnės versijos naudotojai turėtų atnaujinti Log4j biblioteką iki versijos 2.17.1
Java 7 naudotojai turėtų atnaujinti Log4j biblioteką iki versijos 2.12.4
Java 6 naudotojai turėtų atnaujinti Log4j biblioteką iki versijos 2.3.2
(arba) Pašalinti JndiLookup klasę: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Kaip ieškoti įsibrovimo pėdsakų: