Обнаружена уязвимость Zero-day, которая позволяет выполнение произвольного кода через журнал логирования log4j.
Недавно обнаруженная уязвимость нулевого дня в широко используемой библиотеке логирования Java Apache Log4j легко эксплуатируется и позволяет злоумышленникам получить полный контроль над уязвимыми серверами.
Уязвимость,
CVE-2021-44228, классифицируется как серьезная и позволяет выполнять удаленный код без аутентификации, поскольку пользователь, запускающий приложение, использует библиотеку логирования Java. Уязвимость была впервые обнаружена в Minecraft.
Затронуты все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1, включая многие службы и приложения, написанные на Java. Вот
примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).
Исправление уязвимости уже выпущено, и мы настоятельно рекомендуем обновить системы для предотвращения нежелательных последствий:
https://github.com/apache/logging-log4j2/actions/runs/1560122907/workflow