Informacija apie aptiktą Log4j bibliotekos saugumo spragą

By Adele

 

Log4Shell pavadinta Log4j bibliotekoje aptikta saugumo spraga CVE-2021-44228 leidžia prie sistemos prisijungti trečiosioms šalims bei vykdyti nuotolines komandas. Neatnaujinus versijos, serveriai, naudojantys šią spragą turinčią bibliotekos versiją, gali būti perimti neautorizuotų asmenų.

 

Saugumo spragos paplitimas sutinkamas visame pasaulyje, todėl rekomenduojama atlikti būtinus atnaujinimus bei pasitikrinti, ar nenustatyta galimų įsibrovimo požymių.

 

Pagal atliktų papildomų saugumo patikrų rezultatus, Doclogix šias bibliotekas naudoja tik su papildomu įskiepiu, kuris nėra diegiamas kiekvienam klientui pagal nutylėjimą.

 

Ką daryti, jei įtariate, kad sistemoje vykdyta kenkėjiška veikla?

  • Įsitikinti, kad Log4j bibliotekos versija atnaujinta iki 2.15.0
  • versijose nuo 2.10.0:
    • Pakeisti nustatymą
      • log4j2.formatMsgNoLookups=true
    • arba kintamąjį
      • LOG4J_FORMAT_MSG_NO_LOOKUPS=true
  • versijoje nuo 2.7 iki 2.14.1:
    • Visuose patterns šablonuose (PatternLayout) pakeisti žinutės keitiklį: vietoj %m į %m{nolookups}
  • versijoje nuo 2.0-beta9 iki 2.10.0:
    • Pašalinti JndiLookup klasę:
      • zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

Log4shell spragos paieškos gidas:

https://github.com/Neo23x0/log4shell-detector

 

Kilus papildomiems klausimams dėl Log4j naudojimo DocLogix sistemoje, prašome kreiptis į sales@doclogix.lt, info@doclogix.lt, arba į savo klientų vadovą.