Уязвимость в библиотеке Log4j ставит под угрозу популярные сайты и приложения
Log4j является компонентом Apache, который встроен в продукты Apple, Amazon, Twitter, Steam и многих других компаний.
В библиотеке журналирования Log4j, которая входит в состав популярных сетевых продуктов Apache, обнаружена уязвимость нулевого дня.
Уязвимость под названием Log4Shell (CVE-2021-44228) допускает удалённое выполнение произвольного кода. Как отмечают специалисты, для эксплуатации бага не требуются особые технические навыки, а код эксплойта уже ходит по сети. Поэтому «дыра» получила максимальные 10 баллов по шкале оценки уязвимостей CVSSv3.
Изначально уязвимость обнаружена на серверах Minecraft, но Log4j используются во многих Java-серверах. Потенциально подвержены атаке продукты Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD и других компаний.
Разработчики Apache Software Foundation выпустили экстренное обновление безопасности, устраняющее Log4Shell.
По данным специалистов Bad Packets и Greynoise, злоумышленники уже сканируют сеть в поисках приложений, которые могут быть уязвимы перед Log4Shell.