Descripción general de la vulnerabilidad de Apache Log4j
Vulnerabilidades de Apache Log4j (CVE-2021-44228) ha sido publicado. Se estima que 1/3 de los servidores en todo el mundo se verán afectados (según WBS del 15/12).
En un sistema que envía información y valores de entrada del usuario a un registro, si un usuario externo malintencionado ataca, se puede ejecutar código remoto.
Aunque se han tomado contramedidas desde el 15 de diciembre, estamos recibiendo información de IPA y otras fuentes de que se requieren medidas adicionales todos los días, lo cual es confuso. Además de actualizar Log4j a la última versión, hemos implementado integralmente todas las contramedidas, incluida la eliminación de la clase JndiLookup, que es la causa raíz, de la ruta de clases.
Productos afectados y respuesta
Chat&Messenger escritorio, aplicación web, aplicación móvil
Sin impacto (no se utiliza la biblioteca correspondiente, incluidas las versiones anteriores)
Servidor CAM local
Servidor CAM local Iniciar servidor de vídeoSí, si lo eres.
Había una dependencia de la biblioteca correspondiente en el servidor de video de la conferencia web, pero el proceso de enviar información del usuario al registro no es aplicable. Ya hemos notificado al personal del sistema y brindaremos soporte para actualizaciones de versiones y otro tipo de soporte.
Servidor en la nube de Chat y Messenger
Había una dependencia de la biblioteca correspondiente en nuestro servidor de video de conferencia web en la nube, pero el proceso de enviar información del usuario al registro no es aplicable.
Las actualizaciones se reflejaron en el servidor de video el 14/12.