- Открытое администрирование
Десятилетие признания: особые награды в честь этого события
Уязвимость, затрагивающая библиотеку журналов Java Apache, была выпущена 10 декабря. 'Log4j 2', инструмент, разработанный Apache Foundation, который помогает разработчикам программного обеспечения писать сообщения журнала, целью которых является запись конкретной транзакции во время выполнения. Кроме того, Log4j позволяет фильтровать сообщения по важности.
'Log4j 2' - это очень распространенная система регистрации, используемая разработчиками веб-приложений и серверами на основе Java и других языков программирования. Следовательно, уязвимость влияет на широкий спектр сервисов и приложений, включая бизнес-приложения и облачные сервисы.
Опасность, которую представляет эта уязвимость, заключается в том, что злоумышленник может взорваться-отправка вредоносного кода, который в конечном итоге будет зарегистрирован Log4j и предоставит злоумышленнику доступ к системе, которая сможет запускать код удаленно.
Действия
CCN-CERT выпустил уведомление 10 декабря с индикатором критический уровень опасности, после того, как об уязвимости стало известно, когда о ней сообщил инженер по кибербезопасности на github 9 декабря, а 10 и 13 декабря - несколько волн рекомендаций.
Чтобы принять меры по проверке, сдерживанию и искоренению, которые считаются подходящими, Каталонское агентство кибербезопасности предлагает ряд рекомендаций, которые включены в Бюллетень по кибербезопасности «Уязвимости Log4J».
SGAD в отношении своих собственных систем определил затронутые системы и приложения и принял приоритетные меры по смягчению последствий, обновления и корректировки конфигурации. SGAD обратился к контактам COCS-CDTIC с призывом применить рекомендации, указанные CCN-CERT, для уменьшения уязвимости, и чтобы SGAD был проинформирован о предпринятых действиях.