Kaspersky varuje před extrémně nebezpečnou slabinou v knihově nástrojů pro Java

Kaspersky varuje před extrémně nebezpečnou slabinou v knihově nástrojů pro Java
Fotografie: pixabay.com
  • Zranitelnost má závažnost 10 z 10
  • Potenciální obětí zranitelnosti jsou miliony Java aplikací

Minulý týden byla v knihovně Apached Log4j objevena nová, obzvláště nebezpečná zranitelnost. Jde o velmi nebezpečnou zranitelnost třídy Remote Code Execution (RCE), která umožňuje útočníkům spouštět libovolný kód a potenciálně převzít plnou kontrolu nad systémem na napadeném serveru. Objevuje se pod názvem CVE-2021-44228, Log4Shell nebo LogJam. CVE patří mezi kritické slabiny se závažností 10 z 10.


Apache Logging Project (Apache Log4j) je open-source knihovna, která zajišťuje logování a která se používá v milionech Java aplikací. Každý produkt, který pracuje s touto verzí knihovny (verze 2.0-beta9 až 2.14.1), je potenciální obětí tohoto CVE. „Tato zranitelnost je obzvláště problematická. Útočníci mohou získat úplnou kontrolu nad systémem, ale nebezpečná je i v tom, jak snadno se dá použít – dokonce i nezkušeným hackerem. Průběžně vidíme, jak se kyberútočníci snaží aktivně najít software, který by mohli pomocí tohoto CVE napadnout,“ komentuje problém Evgeny Lopatin, bezpečnostní expert ze společnosti Kaspersky. Podle něj může proti útokům pomoct včasná aktualizace, ale i silné zabezpečení. Více informací o této aktuální hrozbě naleznete na webu securelist.com.

Na ochranu proti této nové zranitelnosti odborníci společnosti Kaspersky doporučují:

  • Nainstalujte nejnovější verzi knihovny, 2.15.0. Můžete si ji stáhnout na stránce projektu. V případě použití knihovny ze stránek třetích stran je nutné sledovat a instalovat včasné aktualizace od poskytovatele softwaru.
  • Postupujte podle pokynů projektu Apache Log4j.
  • Firmy by měly používat bezpečnostní řešení, které poskytuje komponenty zaměřené na prevenci zneužití, zranitelnosti a správu oprav.
  • Používejte řešení, která pomáhají identifikovat a zastavit útok v časných fázích, než útočníci dosáhnou průniku do systému.
Diskuze ke článku
V diskuzi zatím nejsou žádné příspěvky. Přidejte svůj názor jako první.
Přidat názor

Nejživější diskuze