Vyjádření ke kritické zranitelnosti v Apache Log4j – našich systémů se netýká
Několik zákazníků se nás ptalo, proto odpovídáme veřejně i pro ostatní.
Minulý týden se objevika velmi kritická zranitelnost CVE-2021–44228 v Java knihovně Apache Log4j. Podrobnosti o této chybě naleznete například v článku na Forbes. Chyba je masivně zneužívaná a ohrožuje velkou spoustu systémů od malých firem až po velké korporace.
Zajímavá je i historie odhalení zranitelnosti. Mladí hráči se chtěli dostat do serverů Minecraftu, který je napsaný v Javě a tak vlastně omylem objevili tuto monstrózní bezpečnostní díru.
Naše systémy pracují na jiné platformě, takže se jich tato chyba Java knihovny netýká. Na serverech využíváme Python ve verzi 3.8 a pravidelně jej aktualizujeme. Na klientské části využíváme JavaScript (JavaScript nemá nic společného s Javou) aplikaci psanou ve UI frameworku Vue.js.
Ale i přes to, že Javu nepoužíváme, provedl jsme testy na tuto zranitelnost a ověřili, že je u nás vše v pořádku.
Na zranitelnost upozorňuje i Národní úřad pro kybernetickou a informační bezpečnost v reaktivním opatření.
Mirek Buček, majitel CaspiaTech