Krytyczna podatność CVE-2021-44228 Apache Log4j, a EuroLinux 8
Wprowadziliśmy mechanizm niwelujący lukę Log4Shell, mimo iż EuroLinux 8 nie jest nią bezpośrednio dotknięty. W bibliotece Apache Log4j znaleziono krytyczną podatność CVE-2021-44228 pozwalającą na zdalne wykonanie kodu (tzw. RCE – Remote Code Execution).
W bibliotece Apache Log4j znaleziono krytyczną podatność CVE-2021-44228, nazywaną również Log4Shell i pozwalającą na zdalne wykonanie kodu (tzw. RCE – Remote Code Execution). Biblioteka ta jest jedną z najczęściej używanych bibliotek do logowania zdarzeń, wykorzystywaną przez aplikacje napisane w Javie. Intruz może uzyskać dostęp do wykonywania dowolnych poleceń na serwerze, ale z uprawnieniami, z którymi działa podatna aplikacja.
Mimo że EuroLinux 8 nie jest dotknięty bezpośrednio tą podatnością, wprowadziliśmy mechanizm niwelujący lukę Log4Shell, który działa z aplikacjami wykorzystującymi Log4j. W celu jego aktywacji wystarczy dokonać aktualizacji systemu standardowym poleceniem sudo dnf update
oraz wykonać restart maszyny.
W ramach łagodzenia skutków CVE-2021-44228 zostały zaktualizowane EuroLinuksowe obrazy Vagrant i VMware dostępne na Vagrant Cloud oraz obrazy kontenerowe dostępne na Docker Hub oraz na Quay.io.
Obrazy EuroLinux 8 umieszczone na Microsoft Azure, Amazon Web Services oraz Google Cloud Platform również zostały zaktualizowane.