Em 10 de dezembro de 2021, um bug no Log4J, um mecanismo de registro onipresente presente em muitas aplicações Java, foi divulgado publicamente. Você pode encontrar informações detalhadas sobre CVE-2021-44228 clicando aqui. Esta é uma atualização rápida para informar como abordamos os problemas em nossas aplicações de backend, que são em grande parte construídas com Java Enterprise.
- Atualizamos as aplicações Spring Boot para usar a última versão do Log4J: org.apache.logging.log4j:log4j-bom:2.15.0
- Configuramos as aplicações Spring Boot para ignorar as solicitações JNDI: spring: jndi: ignore: true
- Cada VM agora está executando com a Opção JVM - Dlog4j2.formatMsgNoLookups=true para mitigar qualquer possível divulgação de informações.
- Nossos serviços de backend não estão abertos e operam atrás de uma configuração de firewall/load balancer. Investigamos nossos registros e sistemas de segurança para verificar solicitações JNDI/LDAP e não encontramos nenhuma, o que nos leva a acreditar que nossos sistemas não foram escaneados em busca dessas vulnerabilidades.
Você pode encontrar mais informações sobre a vulnerabilidade do Log4J descrita em CVE-2021-44228 nos seguintes links:
- https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
- https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
- https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
- https://github.com/YfryTchsGD/Log4jAttackSurface
.jpeg)
Os primeiros 14 dias são por nossa conta
Suporte básico gratuito
