Множество проектов пострадало от уязвимости в библиотеке логирования Log4j

Критическая уязвимость Log4Shell в библиотеке журналирования (логирования) Log4j затронула не менее 17 программных продуктов только одной организации Apache Foundation, следует из опубликованного 14 декабря отчета Apache.

Уязвимости подвержены такие продукты Apache, как Archiva Affected, Calcite Avatica, Druid, EventMesh, Flink, Hive, JSPWiki и другие.

Помимо продуктов Apache библиотека Log4j используется в тысячах крупных программных проектов. По мнению Агентства по кибербезопасности и защите инфраструктуры США (CISA) уязвимость Log4Shell является одной из наиболее серьезных из выявленных за последние годы.

Злоумышленники уже активно используют уязвимость. Глава CISA Джен Истерли сообщила, что зафиксировано уже более 1,2 млн атак на сервисы с использованием Log4j. Число пострадавших ресурсов и отдельных компьютеров доходит до 100 тыс.

Агентство предупредило, что злоумышленники захватывают компьютеры, присоединяют их к автономным сетям (ботнетам) и добывают (майнят) криптовалюту. Крупные компании Amazon, Apple, IBM, Microsoft, Cisco и другие уже установили пакеты исправления, но множество потенциальных целей еще подключено к Интернету и могут стать жертвами.