Организация Apache Software Foundation выпустила экстренное обновление безопасности, исправляющее уязвимость удаленного выполнения кода (CVE-2021-44228) в библиотеке Java Log4j – apache.org.

Уязвимость, получившая название Log4Shell, может быть использована путем принуждения приложений и серверов на основе Java с библиотекой Log4j к регистрации определенной строки в своих внутренних системах. Когда приложение или сервер обрабатывают журналы, данная строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Таким образом хакеры могут перехватить контроль над приложением или сервером.

Уязвимость Log4Shell получила максимальную оценку в 10 баллов по шкале CVSSv3. CVE-2021-44228 затрагивает версии log4j между 2.0-beta-9 и 2.14.1. Проблема отсутствует в версии log4j 1 и исправлена в версии 2.15.0.

Источник: securitylab.ru