04.07.2022

17 проектов Apache оказались затронуты уязвимостью в Log4j 2

Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.

Проекты Apache, которых не затрагивает уязвимость в Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper и CloudStack.

Пользователям проблемных пакетов рекомендуется срочно установить выпущенные для них обновления, отдельно обновить версию Log4j 2 или выставить параметр Log4j2.formatMsgNoLookups в значение true. Для блокирования уязвимости на системах, к которым нет прямого доступа, предложен эксплоит-вакцина Logout4Shell, который через совершение атаки выставляет Java-настройки «log4j2.formatMsgNoLookups = true», «com.sun.jndi.rmi.object.trustURLCodebase = false» и «com.sun.jndi.cosnaming.object.trustURLCodebase = false» для блокирования дальнейшего проявления уязвимости на неподконтрольных системах.

В последние дни отмечается существенный рост активности, связанной с эксплуатацией уязвимости. Например, компания Check Point зафиксировала на своих подставных серверах в пике около 100 попыток эксплуатации в минуту, а компания Sophos сообщила о выявлении нового ботнета для майнинга криптовалюты, сформированного из систем с неисправленной уязвимостью в Log4j 2.

Источник.