Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.
Проекты Apache, которых не затрагивает уязвимость в Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper и CloudStack.
Пользователям проблемных пакетов рекомендуется срочно установить выпущенные для них обновления, отдельно обновить версию Log4j 2 или выставить параметр Log4j2.formatMsgNoLookups в значение true (например, через добавление ключа "-DLog4j2.formatMsgNoLookup=True" при запуске). Для блокирования уязвимости на системах, к которым нет прямого доступа, предложен эксплоит-вакцина Logout4Shell, который через совершение атаки выставляет Java-настройки "log4j2.formatMsgNoLookups = true", "com.sun.jndi.rmi.object.trustURLCodebase = false" и "com.sun.jndi.cosnaming.object.trustURLCodebase = false" для блокирования дальнейшего проявления уязвимости на неподконтрольных системах.
В последние дни отмечается существенный рост активности, связанной с эксплуатацией уязвимости. Например, компания Check Point зафиксировала на своих подставных серверах в пике около 100 попыток эксплуатации в минуту, а компания Sophos сообщила о выявлении нового ботнета для майнинга криптовалюты, сформированного из систем с неисправленной уязвимостью в Log4j 2.
Дополнение 1:
www.opennet.ru
Проекты Apache, которых не затрагивает уязвимость в Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper и CloudStack.
Пользователям проблемных пакетов рекомендуется срочно установить выпущенные для них обновления, отдельно обновить версию Log4j 2 или выставить параметр Log4j2.formatMsgNoLookups в значение true (например, через добавление ключа "-DLog4j2.formatMsgNoLookup=True" при запуске). Для блокирования уязвимости на системах, к которым нет прямого доступа, предложен эксплоит-вакцина Logout4Shell, который через совершение атаки выставляет Java-настройки "log4j2.formatMsgNoLookups = true", "com.sun.jndi.rmi.object.trustURLCodebase = false" и "com.sun.jndi.cosnaming.object.trustURLCodebase = false" для блокирования дальнейшего проявления уязвимости на неподконтрольных системах.
В последние дни отмечается существенный рост активности, связанной с эксплуатацией уязвимости. Например, компания Check Point зафиксировала на своих подставных серверах в пике около 100 попыток эксплуатации в минуту, а компания Sophos сообщила о выявлении нового ботнета для майнинга криптовалюты, сформированного из систем с неисправленной уязвимостью в Log4j 2.
Дополнение 1:
- Уязвимость подтверждена во многих официальных образах Docker, включая образы couchbase, elasticsearch, flink, solr, storm и т.п.
- Уязвимость присутствует в продукте MongoDB Atlas Search.
- Проблема проявляется в различных продуктах Cisco, включая Cisco Webex Meetings Server, ,Cisco CX Cloud Agent, Cisco Advanced Web Security Reporting, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco BroadWorks и т.п.
- Проблема присутствует в IBM WebSphere Application Server, а также в следующих продуктах Red Hat: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse и AMQ Streams.
- Проблема подтверждена в Junos Space Network Management Platform, Northstar Controller/Planner, Paragon Insights/ Pathfinder/Planner.
- Уязвимости также подвержены многие продукты Oracle, vmWare, Broadcom и Amazon.