Lỗ hổng Zero-Day được tìm thấy trong thư viện java Apache log4j
Một lỗ hổng bảo mật Zero-Day thực thi lệnh từ xa RCE được tìm thấy trong thư viện Apache log4j với mã định danh CVE-2021-44228.
Phiên bản Apache log4j bị ảnh hưởng là từ 2.0 đến 2.14.1. Đây là một lỗ hổng khá nghiêm trọng, và giúp hacker chiếm quyền điều khiển máy chủ nạn nhân dễ dàng.
Các đối tượng bị ảnh hưởng
Theo như các báo cáo gần đây, nhiều dịch vụ sử dụng thư viện này sẽ bị ảnh hưởng nghiêm trọng bao gồm dịch vụ đám mây Steam, Apple iCloud, và các ứng dụng như Minecraft.
Bên cạnh đó, bất kỳ đối tượng nào đang sử dụng Apache Struts2, Apache Solr, Apache Druid, Apache Flink,...vv đều có thể bị hacker dễ dàng tấn công.
Các dịch vụ trên và các dự án mã nguồn mở đang tiến hành cập nhật bản vá mới nhất để giảm thiểu rủi ro từ lỗ hổng này.
Hiện tại phiên bản cập nhật mới nhất 2.15.0 đã được phát hành. Người dùng có thể tải tại đây.