Od wczoraj, tj. 9 grudnia 2021, dostępny jest łatwy do wykorzystania exploit 0-day atakujący popularne narzędzie Apache Log4j.
Szczegóły nt. działania exploita można poznać tutaj.
Luka CVE-2021-44228 jest aktywnie wykorzystywana i każdy, kto używa Log4j, powinien jak najszybciej zaktualizować go do wersji 2.15.0.
Log4j to biblioteka rejestrująca oparta na Javie, utrzymywana przez Apache Software Foundation.
We wszystkich wersjach Log4j >= 2.0-beta9 i <= 2.14.1 funkcje JNDI używane w konfiguracji, komunikaty dziennika i parametry mogą zostać wykorzystane przez atakującego do zdalnego wykonania kodu. Atakujący może wykonać dowolny kod ładowany z serwerów LDAP.
CERT PSE rekomenduje jak najszybszą aktualizację, dostępną tutaj.