Главная   >    техподдержка   >    Описание новости    >    Уязвимость log4jshell - CVE-2021-44228
10.02.2022

Уязвимость «log4jshell»/«CVE-2021-44228»

«Интернет в огне» - так можно было бы охарактеризовать новость, которая появилась в декабре 2021 года. В распространённой библиотеке логирования «log4j», входящей в Apache Software Foundation, была выявлена уязвимость. Она позволяет злоумышленнику выполнить произвольный код на подверженной угрозе системе, в том числе получить полный контроль над ней.

В связи с этим, угрозе был присвоен уровень опасности CVSS 10 (максимальная степень угрозы) по международному стандарту оценки IT-рисков. Уязвимость получила имя – «log4jshell» или «Log4j Zero-Day Vulnerability» и код «CVE-2021-44228».

Указанная библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter, в частности данная библиотека используется и в ARIS.

Software AG сообщил, что все релизы версии ARIS 10 подвержены выявленной угрозе.

Для решения этой проблемы был выпущен новый релиз ARIS 10.017 (ARIS 10.0 Service Release 17), а также патчи для релизов ARIS, где библиотека «log4j» была обновлена. Список этих версий представлен ниже:

  • ARIS 10.0.16c*
  • ARIS 10.0.15b
  • ARIS 10.0.14b
  • ARIS 10.0.13b
  • ARIS 10.0.12b
  • ARIS 10.0.11b
  • ARIS 10.0.10b

* При обновлении на релиз ARIS 10.0.16 и новее с более старых версий происходит изменение базового шаблона в ARIS Connect. Это означает, что если базовый шаблон был настроен под требования пользователя, то после обновления его придется перенастраивать с учетом изменений.

Разработчик обращает внимание, что лучше использовать самую последнюю версию ARIS, так как в ней исправлены все выявленные ошибки. Для пользователей 9-й версии ARIS также рекомендовано перейти на версию 10.**

ООО «Дайнова Консалтинг», как официальный партнер Software AG, протестировала на своих серверах выпущенные релизы. Тестирование показало, что библиотека «log4j» в обновленных релизах заменена на безопасные версии. Соответственно, уязвимость была устранена.

При обновлении программных продуктов вы можете обратиться в техническую службу компании ООО «Дайнова Консалтинг». Мы с радостью поможем и ответим на все ваши вопросы.

** Единственное исключение составляют более старые версии, чем SR16, если они установлены на Oracle 12.1. В этом случае рекомендуется перед обновлением обратиться в службу технической поддержки ООО «Дайнова консалтинг» или Software AG.

Другие сообщения