Apache Log4j भेद्यता अवलोकन
अपाचे Log4j कमजोरियाँ (सीवीई-2021-44228) प्रकाशित हो चुकी है।. अनुमान है कि दुनिया भर में 1/3 सर्वर प्रभावित होंगे (12/15 को डब्ल्यूबीएस से)।
एक सिस्टम में जो उपयोगकर्ता इनपुट मान और जानकारी को लॉग में आउटपुट करता है, यदि कोई दुर्भावनापूर्ण बाहरी उपयोगकर्ता हमला करता है, तो रिमोट कोड निष्पादित किया जा सकता है।
हालाँकि 12/15 से जवाबी कदम उठाए गए हैं, हमें आईपीए और अन्य स्रोतों से जानकारी मिल रही है कि हर दिन अतिरिक्त उपायों की आवश्यकता है, जो भ्रमित करने वाला है। Log4j को नवीनतम संस्करण में अपडेट करने के अलावा, हमने क्लासपाथ से JNdiLookup क्लास, जो मूल कारण है, को हटाने सहित सभी प्रति-उपायों को व्यापक रूप से लागू किया है।
प्रभावित उत्पाद और प्रतिक्रिया
चैट और मैसेंजर डेस्कटॉप, वेब ऐप, मोबाइल ऐप
कोई प्रभाव नहीं (पिछले संस्करणों सहित संबंधित लाइब्रेरी का कोई उपयोग नहीं)
ऑन-प्रिमाइसेस CAMसर्वर
ऑन-प्रिमाइसेस CAMसर्वर वीडियो सर्वर प्रारंभ करेंहाँ, यदि आप हैं.
वेब कॉन्फ़्रेंस वीडियो सर्वर पर संबंधित लाइब्रेरी पर निर्भरता थी, लेकिन उपयोगकर्ता जानकारी को लॉग में आउटपुट करने की प्रक्रिया लागू नहीं है। हमने सिस्टम स्टाफ को पहले ही सूचित कर दिया है और संस्करण उन्नयन और अन्य सहायता के लिए सहायता प्रदान करेंगे।
चैट एवं मैसेंजर क्लाउड सर्वर
हमारे क्लाउड वेब कॉन्फ्रेंसिंग वीडियो सर्वर पर संबंधित लाइब्रेरी पर निर्भरता थी, लेकिन उपयोगकर्ता जानकारी को लॉग में आउटपुट करने की प्रक्रिया लागू नहीं है।
अद्यतन 12/14 को वीडियो सर्वर पर प्रतिबिंबित किए गए हैं।