Status odpowiedzi na podatność Apache Log4j (CVE-2021-44228)

Chcielibyśmy poinformować o statusie naszego dochodzenia i odpowiedzi na podatność Apache Log4j*, która została ujawniona 9 grudnia 2021 roku.
 

Dla usługi meviy wszystkie podatności związane z podatnością Log4j zostały rozwiązane!

 

Informacje o dochodzeniu i środki zaradcze:
  • • Aplikacja serwerowa meviy nie używa docelowej biblioteki
  • • Jako środek zaradczy, 13 grudnia zastosowano zasady WAF blokujące ataki na podatność log4j
  • • Niektóre oprogramowanie pośrednie, które nie wykonuje komunikacji zewnętrznej, używa log4j, a aktualizacja odpowiedniego oprogramowania pośredniego została wdrożona 21 grudnia

Będziemy nadal zbierać informacje na temat tej podatności i wdrażać środki zaradcze w miarę potrzeb.

 

*Apache Log4j to szeroko stosowana biblioteka dla systemów opartych na Javie. Podatność ujawniona 9 grudnia 2021 roku, jeśli zostanie wykorzystana, może pozwolić złośliwej stronie trzeciej na wykonanie dowolnego kodu poprzez przesłanie spreparowanych danych.