NÚKIB vydal oznámení o závažné zranitelnosti (CVE-2021-44228) v programové komponentě Log4j2, tzv. Log4jShell. Prověřili jsme, že žádný z našich systémů není touto zranitelností postižen.
Knihovnu log4j2, respektive její hlavní komponentu log4j-core, totiž nepoužíváme v žádném z našich systémů. Používáme pouze komponentu log4j-api, které se zranitelnost netýká (neobsahuje výkonný kód). Navíc nepoužíváme ani JNDI, který tato zranitelnost využívá.
Další informace o zranitelnosti najdete na https://www.nukib.cz/download/uredni_deska/2021-12-15_RO-NUKIB-Log4Shell.pdf.
Tým KPSYS