Команда CrossTech Solutions Group выпустила обновления для приложений, использующих библиотеку Log4j, чтобы устранить обнаруженную уязвимость в компонентах, основанных на Java.
Популярная библиотека
Уязвимость библиотеки мониторинга Log4j, которая встраивается в приложения на Java, мало кого обошла стороной. Библиотека широко распространена — она используется практически в каждом приложении на основе Java. Поэтому данная критическая уязвимость признана одной из самых опасных за последние годы.
Основная угроза CVE-2021-44228 получила максимальный уровень критичности CVSS 10, и это не удивительно, так как она позволяет удаленно, без взаимодействия с пользователем исполнять код на уязвимом сервере. В результате эксплуатации уязвимости можно получить полный контроль над системой. Кроме этого, использование данной уязвимости достаточно лёгкое и доступно широкому кругу хакеров. Помимо этой уязвимости в Log4j были найдены и другие, в частности уязвимость CVE-2021-45105 типа «отказ в обслуживании» с возможностью введения системы Java в выполнение бесконечного цикла. Она считается менее критичной и фиксируется только в рамках систем с Java 8.
«Инженеры и разработчики CrossTech Solutions Group своевременно отреагировали на возникшие угрозы и выпустили набор обновлений для своих решений, имеющих в составе архитектуры ETL-инструмент с открытыми кодом Logstash, в котором используется библиотека Log4j, — подчеркнул руководитель отдела внедрения и продвижения решений Департамента цифровой трансформации Crosstech Solutions Group Никита Андреянов. — В частности, Logstash был обновлен до актуальной версии 7.16.2, в которой используется Log4j версии 2.17.0. На текущий момент все программные решения компании используют актуальное ПО, закрывающее соответствующие уязвимости. А клиенты CrossTech Solutions Group осведомлены о необходимости в срочном порядке обновить ПО».
