EuroLinux java Apache Log4j Log4shell

Krytyczna podatność CVE-2021-44228 Apache Log4j, a EuroLinux 8

Wprowadziliśmy mechanizm niwelujący lukę Log4Shell, mimo iż EuroLinux 8 nie jest nią bezpośrednio dotknięty. W bibliotece Apache Log4j znaleziono krytyczną podatność CVE-2021-44228 pozwalającą na zdalne wykonanie kodu (tzw. RCE – Remote Code Execution).

W bibliotece Apache Log4j znaleziono krytyczną podatność CVE-2021-44228, nazywaną również Log4Shell i pozwalającą na zdalne wykonanie kodu (tzw. RCE – Remote Code Execution). Biblioteka ta jest jedną z najczęściej używanych bibliotek do logowania zdarzeń, wykorzystywaną przez aplikacje napisane w Javie. Intruz może uzyskać dostęp do wykonywania dowolnych poleceń na serwerze, ale z uprawnieniami, z którymi działa podatna aplikacja.

Mimo że EuroLinux 8 nie jest dotknięty bezpośrednio tą podatnością, wprowadziliśmy mechanizm niwelujący lukę Log4Shell, który działa z aplikacjami wykorzystującymi Log4j. W celu jego aktywacji wystarczy dokonać aktualizacji systemu standardowym poleceniem sudo dnf update oraz wykonać restart maszyny.

W ramach łagodzenia skutków CVE-2021-44228 zostały zaktualizowane EuroLinuksowe obrazy Vagrant i VMware dostępne na Vagrant Cloud oraz obrazy kontenerowe dostępne na Docker Hub oraz na Quay.io.

Obrazy EuroLinux 8 umieszczone na Microsoft Azure, Amazon Web Services oraz Google Cloud Platform również zostały zaktualizowane.

Autorzy

Artykuły na blogu są pisane przez osoby z zespołu EuroLinux. 80% treści zawdzięczamy naszym developerom, pozostałą część przygotowuje dział sprzedaży lub marketingu. Dokładamy starań, żeby treści były jak najlepsze merytorycznie i językowo, ale nie jesteśmy nieomylni. Jeśli zauważysz coś wartego poprawienia lub wyjaśnienia, będziemy wdzięczni za wiadomość.