Ikhtisar kerentanan Apache Log4j
Kerentanan Apache Log4j (CVE-2021-44228) telah diterbitkan. Diperkirakan 1/3 server di seluruh dunia akan terpengaruh (dari WBS pada 15/12).
Dalam sistem yang mengeluarkan nilai dan informasi masukan pengguna ke log, jika pengguna eksternal yang jahat menyerang, kode jarak jauh dapat dieksekusi.
Meskipun tindakan penanggulangan telah diambil sejak 15/12, kami menerima informasi dari IPA dan sumber lain bahwa tindakan tambahan diperlukan setiap hari, dan hal ini membingungkan. Selain memperbarui Log4j ke versi terbaru, kami telah menerapkan semua tindakan pencegahan secara komprehensif, termasuk menghapus kelas JndiLookup, yang merupakan akar permasalahan, dari classpath.
Produk dan respons yang terpengaruh
Desktop Obrolan & Messenger, aplikasi web, aplikasi seluler
Tidak ada dampak (tidak ada penggunaan perpustakaan terkait termasuk versi sebelumnya)
Server CAM lokal
Server CAM lokal Mulai server videoYa, jika ya.
Ada ketergantungan pada perpustakaan terkait di server video konferensi web, namun proses mengeluarkan informasi pengguna ke log tidak berlaku. Kami telah memberi tahu staf sistem dan akan memberikan dukungan untuk peningkatan versi dan dukungan lainnya.
Server awan Obrolan & Messenger
Ada ketergantungan pada perpustakaan yang sesuai di server video konferensi web cloud kami, namun proses mengeluarkan informasi pengguna ke log tidak berlaku.
Pembaruan telah diterapkan di server video pada 14/12.