Zranitelnost Apache Log4j – Log4Shell

Národní úřad kybernetické bezpečnosti (NÚKIB) upozorňujeme na závažnou zranitelnost logovacího frameworku Apache Log4j.

Zranitelnost „Log4Shell“ potenciálně postihuje veškeré aplikace, které ji k logování používají a umožňují příjem požadavků skrze libovolný protokol. Zalogováním speciálně vytvořeného požadavku, který útočník na server zašle, dojde kvůli chybě v interpretaci k jeho spuštění, čímž může získat plnou kontrolu nad serverem.

Log4j je nativní součástí produktů Apache, např. Apache Struts, Apache Druid, Apache Flume, Apache Flink, Apache Kafka a dalších. Framework využívají například, ElasticSearch, Logstash a obecně většina aplikací běžících na Javě.

Všem správcům relevantních systémů doporučujeme prověřit, zda jimi provozované aplikace, zejména pokud jsou přístupné z internetu, využívají pro logování Log4j. Pokud ano, doporučujeme Log4j bezodkladně aktualizovat na verzi 2.15.0-rc2. Pokud není aktualizace z provozních důvodů možná, je doporučeno provést alespoň opatření v podobě spuštění aplikace s parametrem `log4j2.formatMsgNoLookups=True.`

Další reaktivní opatření vydané NÚKIB naleznete na tomto odkaze.

NAŠI ZÁKAZNÍCI