Panoramica della vulnerabilità di Apache Log4j
Vulnerabilità di Apache Log4j (CVE-2021-44228) è stato pubblicato. Si stima che sarà interessato 1/3 dei server in tutto il mondo (da WBS del 15/12).
In un sistema che invia valori e informazioni di input dell'utente a un registro, se un utente esterno malintenzionato attacca, è possibile che venga eseguito codice remoto.
Sebbene siano state adottate contromisure dal 15 dicembre, riceviamo informazioni dall’IPA e da altre fonti secondo cui ogni giorno sono necessarie ulteriori misure, il che crea confusione. Oltre ad aggiornare Log4j all'ultima versione, abbiamo implementato in modo completo tutte le contromisure, inclusa la rimozione della classe JndiLookup, che è la causa principale, dal classpath.
Prodotti interessati e risposta
Chat&Messenger desktop, app Web, app mobile
Nessun impatto (nessun utilizzo della libreria corrispondente comprese le versioni precedenti)
Server CAM locale
Server CAM locale Avvia il server videoSì, se lo sei.
Esisteva una dipendenza dalla libreria corrispondente sul server video della conferenza Web, ma il processo di output delle informazioni utente nel registro non è applicabile. Abbiamo già avvisato lo staff di sistema e forniremo supporto per gli aggiornamenti di versione e altro supporto.
Server cloud Chat&Messenger
Esisteva una dipendenza dalla libreria corrispondente sul nostro server video per conferenze Web cloud, ma il processo di output delle informazioni dell'utente nel registro non è applicabile.
Gli aggiornamenti sono stati riflessi sul server video il 14/12.