Критическая уязвимость CVE-2021-44228 была обнаружена в Apache Log4j 2, популярной библиотеке журналирования для Java, которая затрагивает ряд сервисов, в том числе Minecraft, Steam и Apple iCloud. Apache Log4j используется множеством приложений библиотек и приложений:
- Apache Druid
- Apache Flink
- Apache Solr
- Apache Spark
- Apache Struts2
- Apache Tomcat
Эта уязвимость, названная исследователями Log4Shell, уже используется для имплантации майнеров криптовалюты, и исследователи обнаружили случаи массового сканирования в поисках серверов, использующих Log4j. Агентство по кибербезопасности и безопасности инфраструктуры (CISA) 10 декабря также выпустило предупреждение, в котором содержится призыв к немедленному патчингу или обновлению.
Все клиенты Tenable получили письмо с настоятельной рекомендацией как можно скорее исправить уязвимые ресурсы. Дополнительная информация доступна в блоге Tenable.
Устранение CVE-2021-44228
10 декабря Apache выпустил версию 2.15.0 для устранения этой уязвимости. Организациям, использующим Java 7, необходимо будет выполнить обновление до Java 8, чтобы установить исправленную версию Log4j 2.15.0.
Клиенты Tenable для выявления этой уязвимости могут использовать плагины , которые будут появляться на этой странице по мере их выпуска.
Tenable также планирует в ближайшее время выпустить ряд дополнительных возможностей, которые помогут вам устранить эту уязвимость, в том числе:
- Шаблоны сканирования для Tenable.io, Tenable.sc и Nessus Professional для быстрого обнаружения уязвимых ресурсов.
- Новые дашборды в Tenable.io и Tenable.sc для отчетности и ускорения устранение уязвимости.
- Новый виджет на главной панели инструментов Tenable.io для отображения уязвимых ресурсов пользователям при их входе в систему.
Если у вас нет активной подписки на продукты Tenable
Если вы не используете решения Tenable, вы можете скачать бесплатную пробную версию Nessus Professional для поиска этой уязвимости.
Закажите демо решений Tenable
Хотите узнать больше? Закажите демо и тестирование Tenable прямо сейчас.
