V návaznosti na nedávné odhalení kritické zranitelnosti (CVE-2021–44228) v populárním logovacím frameworku Apache Log4j byla vydána opravená verze 2.15.0-rc2. Ta však neodstranila všechny způsoby zneužití a byla tak objevena další zranitelnost (CVE-2021-45046) umožňující v některých případech vzdálené spuštění kódu. Druhá zranitelnost byla opravena ve verzi 2.16.0 (Java 8 a novější) a 2.12.2 (Java 7). Následně byla objevena ještě další zranitelnosti (CVE-2021-45105), která může vést k nekonečné rekurzi a tedy odepření služby (denial of service). Opravená verze je 2.17.0 (Java 8 a novější).

Ukázalo se také, že je zasažena i verze Log4j 1, která už dosáhla EOL (end-of-life) a není dále vyvíjena. Jedná se o dvě zranitelnosti (CVE-2021-4104 a CVE-2021-42550). Je tak doporučeno přejít na opravenou verzi 2.17.0.

Všem uživatelům a administrátorům doporučujeme prostudovat bezpečnostní doporučení výrobce a provést nezbytné aktualizace.

UPOZORNĚNÍ: Návod na mitigaci první odhalené zranitelnosti (CVE-2021–44228) původně doporučoval nastavení log4j2.formatMsgNoLookups či proměnné prostředí LOG4J_FORMAT_MSG_NO_LOOKUPS na "true" ve verzích od 2.10.0. Tento způsob se ukázal jako nedostatečný a v současné době je doporučeno buď aktualizovat na poslední verzi a nebo odstranit JndiLookup třídu příkazem:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class