Eine Zero-Day-Schwachstelle mit Auswirkungen auf Version 2.0< = 2.14.1 des Apache Log4j 2-Pakets wurde am 9. Dezember der Öffentlichkeit bekannt gegeben. (Weitere Informationen finden Sie im CVE .)
Apache hat eine neue Log4j-Version veröffentlicht, um die Schwachstelle zu beheben. Versionen dieser Bibliothek vor 2.15.0 sind anfällig für Angriffe mit Remotecodeausführung. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im CVE.
Wir haben unsere Cloud-SaaS-Plattform untersucht und die Verwendung betroffener log4j-Bibliotheken sowohl in unserem eigenen Code als auch in abhängigen Diensten bestätigt. Wir können versichern, dass die Sicherheitsanfälligkeit aufgrund unterschiedlicher, bereits in der Umgebung vorhandener Schutzmaßnahmen nicht ausgenutzt werden konnte.
In weniger als 6 Stunden, nachdem wir auf diese Schwachstelle aufmerksam geworden waren, haben wir die behobene Bibliothek in unseren eigenen Code integriert (die Veröffentlichung ist geplant) und wir haben die Gegenmaßnahmen von Mitre.org live angewendet
Wir haben auch die Erkennungsregeln für unsere WAF angepasst und beobachten ständig auf Missbrauchsmuster.
Am Samstagmorgen hatten wir Fixes für unsere On-Premise-Version von OneDesk veröffentlicht und begannen, unsere On-Premise-Kunden mit maßgeschneiderten Maßnahmen zur Minderung in ihren eigenen Umgebungen zu kontaktieren.