Blog » Bez kategorii

Krytyczna podatność CVE-2021-44228 Apache Log4j, a EuroLinux 8

EuroLinux java Apache Log4j Log4shell

W bibliotece Apache Log4j znaleziono krytyczną podatność CVE-2021-44228, nazywaną również Log4Shell i pozwalającą na zdalne wykonanie kodu (tzw. RCE – Remote Code Execution). Biblioteka ta jest jedną z najczęściej używanych bibliotek do logowania zdarzeń, wykorzystywaną przez aplikacje napisane w Javie. Intruz może uzyskać dostęp do wykonywania dowolnych poleceń na serwerze, ale z uprawnieniami, z którymi działa podatna aplikacja.

Mimo że EuroLinux 8 nie jest dotknięty bezpośrednio tą podatnością, wprowadziliśmy mechanizm niwelujący lukę Log4Shell, który działa z aplikacjami wykorzystującymi Log4j. W celu jego aktywacji wystarczy dokonać aktualizacji systemu standardowym poleceniem sudo dnf update oraz wykonać restart maszyny.

W ramach łagodzenia skutków CVE-2021-44228 zostały zaktualizowane EuroLinuksowe obrazy Vagrant i VMware dostępne na Vagrant Cloud oraz obrazy kontenerowe dostępne na Docker Hub oraz na Quay.io.

Obrazy EuroLinux 8 umieszczone na Microsoft Azure, Amazon Web Services oraz Google Cloud Platform również zostały zaktualizowane.