Prohlášení ke kritické zranitelnosti Log4shell

V závěru minulého týdne oznámili bezpečností experti, že s Java knihovnou Log4j je spojena kritická zranitelnost, ohrožující po celém světě služby, které jsou dostupné z internetu. Prověřili jsme jednak všechny aplikace, které vyvíjíme (KEO4, KEO-W, KEO-X aj.) a jednak aplikace, které nám slouží k servisním činnostem (např. monitoring). U našich aplikací buď zmíněnou knihovnu nepoužíváme (KEO4), nebo je ve verzi, která není popsaným problémem dotčena (KEOW, KEO-X). U aplikací, které používáme pro svoji práci, jsme provedli doporučené kroky a upgrade na verze, které mají chybu opravenou. Zaznamenali jsme několik pokusů o zneužití této zranitelnosti, ale ty nebyly provedeny na našich produkčních serverech a řádně jsme je prověřili - všechny narazily buď na neexistenci knihovny nebo na zabezpečení Java aplikace.