Tổng quan về lỗ hổng Apache Log4j
Lỗ hổng Apache Log4j (CVE-2021-44228) đã được phát hành. Ước tính 1/3 số máy chủ trên toàn thế giới sẽ bị ảnh hưởng (theo WBS ngày 15/12).
Trong hệ thống xuất thông tin và giá trị đầu vào của người dùng vào nhật ký, nếu người dùng bên ngoài độc hại tấn công, mã từ xa có thể được thực thi.
Mặc dù các biện pháp đối phó đã được thực hiện kể từ ngày 15/12 nhưng chúng tôi đang nhận được thông tin từ IPA và các nguồn khác cho biết các biện pháp bổ sung được yêu cầu hàng ngày, điều này thật khó hiểu. Ngoài việc cập nhật Log4j lên phiên bản mới nhất, chúng tôi đã triển khai toàn diện tất cả các biện pháp đối phó, bao gồm xóa lớp JndiLookup, nguyên nhân cốt lõi, khỏi đường dẫn lớp.
Sản phẩm bị ảnh hưởng và phản hồi
Trò chuyện & Messenger trên máy tính để bàn, ứng dụng web, ứng dụng di động
Không có tác động (không sử dụng thư viện tương ứng bao gồm các phiên bản trước đây)
Máy chủ CAM tại chỗ
Máy chủ CAM tại chỗ Khởi động máy chủ videoCó, nếu đúng như vậy.
Có sự phụ thuộc vào thư viện tương ứng trên máy chủ video hội nghị trên web, nhưng quá trình xuất thông tin người dùng vào nhật ký không được áp dụng. Chúng tôi đã thông báo cho nhân viên hệ thống và sẽ hỗ trợ nâng cấp phiên bản cũng như các hỗ trợ khác.
Máy chủ đám mây trò chuyện & Messenger
Có sự phụ thuộc vào thư viện tương ứng trên máy chủ video hội nghị web trên nền tảng đám mây của chúng tôi, nhưng quá trình xuất thông tin người dùng vào nhật ký không được áp dụng.
Cập nhật đã được phản ánh trên máy chủ video vào ngày 14/12.