Критичная уязвимость в библиотеке Apache Log4j

По сообщениям экспертов и мировых СМИ, в библиотеке Apache Log4j для платформы Java, которая повсеместно используется в интернете для логирования (включая сайты большинства крупных компаний), обнаружена критичная уязвимость Log4Shell. С ее помощью злоумышленник может удаленно выполнить произвольный код и управлять системами или украсть данные из них. Уязвимости присвоен максимальный уровень опасности.

По данным экспертов компании «Инфосистемы Джет», о выявленной уязвимости в своих продуктах заявили Oracle, Red Hat, Citrix, Dell, Nutanix, Pure Storage, Veritas, VMware и пр. Под ударом оказались компании, которые используют их продукты и решения многих других производителей.

Как поясняют в «Инфосистемы Джет», источник риска – библиотека для ведения логов для языка Java. Она используется во всех крупных российских компаниях – и в собственной разработке, и в составе решений от внешних поставщиков. Теперь компаниям предстоит найти все уязвимые приложения и обновить их. Проблема в том, что в организации могут быть сотни и тысячи приложений, требующих обновления. И даже для ИТ-команд крупных компаний быстро найти ПО, нуждающееся в обновлении и обновить его – нетривиальная задача. Составленный экспертами «Инфосистемы Джет» список обновлений для ключевых продуктов крупнейших производителей насчитывает несколько сотен решений от 75 основных вендоров.