חולשה קריטית ב- Apache Log4j2 (גרסאות 2 עד 2.17). ממה שאני מבין הקריטיות של החולשה תלויה בהגדרות ספיציפיות. מדובר על רכיב תוכנה שמספק שירותי לוגים לתוכנות מבוססות ג'אווה. באתר הפרויקט יש הוראות למניעה.
רשימה של מוצרים שכוללים את החולשה. רשימה של משאבים. הרשימות עדיין מתעדכנות.
שבוע שעבר יצאה חולשה נוספת ובעקבותיה עדכון לגרסה 2.16. לפני כמה ימים התגלתה עוד חולשה והגרסה התעדכנה ל- 2.17. סיכום של האירועים אפשר למצוא כאן.
ב-28.12 נמצאה עוד חולשה. הפעם יש גם חולשה ב log4j 1.2.
פותחו כמה כלים למציאת שרתים שמכילים את log4j2:
- הסורק של CISA. צריך להתקין אותו על שרת נפרד.
- log4j-scan: סורק רשימת כתובות.
- log4shell-detector: סורק לוגים. מכיל גם הוראות לסריקה ידנית של מערכת הקבצים.
- קטע קוד ל- nginx שחוסם ניסיונות פריצה.