Log4Shell információk

Az üzemeltető és biztonsági szakemberek az elmúlt napokban sokat túlóráztak az Apache Log4j/ Log4Shell/ LogJam nulladik napi sérülékenysége miatt. Időközben több szervezet nyilvánosságra hozott adatokat a sérülékenységről és a hozzá tartozó kihasználsokról, esetleg azok csökkentésének módjáról.

A teljesség igénye nélkül ezek a következők:

Az ENISA, az Európai Bizottság, az EU Kiberbiztonsági Ügynöksége, a CERT-EU és az EU incidenskezelő hálózata figyelemmel kísérte az Apache Software Foundation által a Log4j Java naplózási csomag biztonsági réseként nyilvántartott Log4Shell sérülékenységet, amire kiadott egy riasztást, valamint közzétette az egyes tagállamok által kiadott javaslatokat.

A CISA, az USA Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége szintén követi a sérülékenységgel kapcsolatos eseményeket és közzéteszi az információkat az oldalán.

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki az Apache Log4j könyvtárt érintő kritikus kockázati besorolású sérülékenységgel kapcsolatban és egy a sérülékenységet követő oldalt is létrehozott.

Időközben egy újabb sérülékenység is kapcsolódik a Log4j/ Log4Shell/ LogJam sérülékenységhez, amit CVE-2021-45046 azonosítóval tartanak nyilván.

A sérülékenységben érintette nagyvállaltok is nyilvánosságra hozták a sérülékenységgel kapcsolatos javalataiakat így a például Akamai , Amazon , Apache , Apereo , Atlassian , Broadcom , a Cisco , Cloudera , ConnectWise , Debian , Docker, Fortinet , Google , IBM , Intel , Juniper Networks, Microsoft, Okta, az Oracle , a Red Hat , a SolarWinds , a SonicWall , a Splunk, az Ubuntu, a VMware , a Zscaler és a Zoho.