+ 2
- 1
Оценить:

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

 

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О ВЫЯВЛЕНИИ И УСТРАНЕНИИ УЯЗВИМОСТЕЙ КОМПОНЕНТА JNDI (JAVA NAMING AND DIRECTORY INTERFACE) БИБЛИОТЕКИ APACHE LOG4J


от 21 декабря 2021 г. N 240/22/6319

 

10 декабря 2021 г. обнаружена информация о выявленных уязвимостях компонента JNDI (Java Naming and Directory Interface) библиотеки журналирования Apache Log4j2, используемой в Java-программах. Уязвимости позволяют нарушителям, действующим удаленно выполнить произвольный код, а также вызвать отказ в обслуживании информационной системы с помощью специально сформированного запроса. Сведения о выявленных уязвимостях включены в банк данных угроз безопасности информации (BDU:2021-05969, BDU:2021-06204, BDU:2021-06225). Уязвимости библиотеки журналирования Apache Log4j имеют высокий и критический уровни опасности. Указанные уязвимости затрагивают широкий спектр программного обеспечения, использующего файл JAR log4j-core из библиотеки Log4j, в котором применяются библиотеки журналирования.

В целях повышения защищенности государственных информационных систем от реализации угроз безопасности информации, связанных с реализацией уязвимостей библиотеки журналирования Apache и Log4j, необходимо выполнить следующие мероприятия по их устранению:

1. Провести анализ применения указанных библиотек в системном и прикладном программном обеспечении, функционирующем в информационных системах, находящихся в ведении федерального органа исполнительной власти.

2. Выполнить обновление для библиотеки журналирования в Java-программах Apache Log4j 2.x (для Java 9 — обновление до 2.17.0 или более поздней версии, для Java 8 — обновление до 2.17.0 или более поздней версии, для Java 7 — обновление до 2.12.3 или более поздней версии, для Java 6 — обновление до 2.3.1 или более поздней версии).

3. В случае невозможности установки обновлений реализовать комплекс компенсирующих мер:

удалить класс библиотеки JndiLookup из пути к классам: zip -q -d log4j-core - *. Jar org / apache / logging / log4j / core / lookup / JndiLookup.class или установить для параметра Log4j2.formatMsgNoLookups значение true;

в PatternLayout в конфигурации ведения журнала заменить контекстные запросы (${ctx: loginId} или $${ctx: loginId}) MDC-шаблонами (Thread Context Map), например, %X, %mdc и %MDC;

при определении формата вывода в журнал заменить контекстные запросы (${ctx: loginid} или $${ctx: loginid}) MDC-шаблонами (ThreadContex Map), например, %X, %mdc и %MDC;

ограничить доступ Java-приложений в сеть Интернет, например, с использованием межсетевых экранов, а также путем запуска серверов Java-приложений (таких, как Apache Tomcat) через прокси-серверы;

настроить сигнатуры на межсетевом экране уровня приложений (WAF) для защиты периметра.

 

Заместитель директора

ФСТЭК России

В.Лютиков