Visão geral da vulnerabilidade do Apache Log4j
Vulnerabilidades do Apache Log4j (CVE-2021-44228) foi publicado. Estima-se que 1/3 dos servidores em todo o mundo serão afetados (da WBS em 15/12).
Em um sistema que gera valores e informações de entrada do usuário em um log, se um usuário externo mal-intencionado atacar, o código remoto pode ser executado.
Embora contramedidas tenham sido tomadas desde 15/12, estamos recebendo informações da IPA e de outras fontes de que medidas adicionais são necessárias todos os dias, o que é confuso. Além de atualizar o Log4j para a versão mais recente, implementamos de forma abrangente todas as contramedidas, incluindo a exclusão da classe JndiLookup, que é a causa raiz, do caminho de classe.
Produtos afetados e resposta
Chat e Messenger para desktop, aplicativo da web, aplicativo móvel
Sem impacto (sem uso da biblioteca correspondente, incluindo versões anteriores)
Servidor CAM local
Servidor CAM local Iniciar servidor de vídeoSim, se você estiver.
Havia uma dependência da biblioteca correspondente no servidor de vídeo da webconferência, mas o processo de saída de informações do usuário para o log não é aplicável. Já notificamos a equipe do sistema e forneceremos suporte para atualizações de versão e outros tipos de suporte.
Servidor em nuvem Chat&Messenger
Havia uma dependência da biblioteca correspondente em nosso servidor de vídeo de conferência na web na nuvem, mas o processo de saída de informações do usuário para o log não é aplicável.
As atualizações foram refletidas no servidor de vídeo em 14/12.