Site icon OneDesk

OneDesk и уязвимость Log4j

Уязвимость нулевого дня, затрагивающая версию 2.0< = 2.14.1 пакета Apache Log4j 2 был раскрыт общественности 9 декабря. (Дополнительные сведения см. В CVE .)

Apache выпустил новую версию Log4j , чтобы исправить уязвимость. Версии этой библиотеки до 2.15.0 уязвимы для атак с удаленным выполнением кода. Дополнительные сведения об уязвимости см. В CVE.

Мы исследовали нашу платформу Cloud SaaS и подтвердили использование затронутых библиотек log4j как в нашем собственном коде, так и в зависимых сервисах. Мы можем утверждать, что уязвимость не была использована, основываясь на различных средствах защиты, уже существующих в среде.

Менее чем через 6 часов после того, как нам стало известно об этой уязвимости, мы включили фиксированную библиотеку в наш собственный код (который должен быть выпущен) и применили меры по снижению рисков от Mitre.org.

Мы также скорректировали правила обнаружения для нашего WAF и постоянно отслеживаем шаблоны злоупотреблений.

К утру субботы мы выпустили исправления для нашей локальной версии OneDesk и начали обращаться к нашим локальным клиентам, предлагая индивидуальные шаги для смягчения последствий в их собственных средах.

Exit mobile version