Уважаемые коллеги!
Информируем Вас о том, что нами была проведена проверка предоставляемого нами продукта на предмет использования библиотеки Java Apache log4j (библиотека журналов с открытым исходным кодом, используемая в программных приложениях и службах), объявленной группой исследователей кибербезопасности из Alibaba Cloud крайне опасной уязвимостью удаленного выполнения кода (ей присвоен наивысший уровень опасности – CVSS 10). Уязвимости подвержены все версии библиотеки от 2.0-beta9 до 2.14.1.
Вследствие проверки было выявлено, что в большинстве наших продуктов где используется данная библиотека версия 1.2.x, которая не подвержена уязвимости. Но так же выявлено, что есть в использовании подверженная уязвимости версия данной библиотеки – 2.10.0. В связи с этим нами было принято решение незамедлительно заменить в выявленном продукте (Реестр МСП) версию библиотеки на рекомендуемую – 2.16.0.
Важно! Рекомендуем вам как можно скорее выполнить установку текущего официального обновления, а так же выполнить удаление из каталога BIN клиентской части библиотеки FileSorterSrv.jar!
Компания Инверсия заботится о безопасности своих клиентов и рекомендует, при использовании в разработке своих продуктов данной библиотеки Java Apache log4j, незамедлительно исключить её использование или обновить её до рекомендуемой, безопасной версии.