Riasztás Apache Log4j könyvtárt érintő kritikus sérülékenységgel kapcsolatban


2021. december 12. 00:49

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki az Apache Log4j könyvtárt érintő kritikus kockázati besorolású sérülékenységgel kapcsolatban.

Az Apache Log4j könyvtárt több millió Java alkalmazás használja hibaüzenetek naplózására, melynek sérülékenységét a támadók máris aktívan kihasználják. A CVE-2021-44228, más néven Log4Shell vagy LogJam sérülékenység hitelesítés nélküli, tetszőleges, távoli kódfuttatást tesz lehetővé a támadók számára, melynek sikeres kihasználása estén teljes, rendszerszíntű hozzáférést tesz lehetővé.

A probléma kiküszöbölésére az Apache Foundation azt javasolja, hogy mindenki frissítse az érintett könyvtárat a 2.15.0 verzióra, amennyiben ez nem kivitelezhető, használják a következő linken elérhető alternatív megoldásokat:

A sérülékenység egyszerű kihasználása végett, az NBSZ NKI a haladéktalan frissítést javasolja!

Hivatkozások:

Letöltés:
  Riasztas_1211_Log4Shell-1.pdf

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »