Уязвимость нулевого дня, затрагивающая версию 2.0< = 2.14.1 пакета Apache Log4j 2 был раскрыт общественности 9 декабря. (Дополнительные сведения см. В CVE .)
Apache выпустил новую версию Log4j , чтобы исправить уязвимость. Версии этой библиотеки до 2.15.0 уязвимы для атак с удаленным выполнением кода. Дополнительные сведения об уязвимости см. В CVE.
Мы исследовали нашу платформу Cloud SaaS и подтвердили использование затронутых библиотек log4j как в нашем собственном коде, так и в зависимых сервисах. Мы можем утверждать, что уязвимость не была использована, основываясь на различных средствах защиты, уже существующих в среде.
Менее чем через 6 часов после того, как нам стало известно об этой уязвимости, мы включили фиксированную библиотеку в наш собственный код (который должен быть выпущен) и применили меры по снижению рисков от Mitre.org.
Мы также скорректировали правила обнаружения для нашего WAF и постоянно отслеживаем шаблоны злоупотреблений.
К утру субботы мы выпустили исправления для нашей локальной версии OneDesk и начали обращаться к нашим локальным клиентам, предлагая индивидуальные шаги для смягчения последствий в их собственных средах.