Недавно обнаруженная уязвимость Log4Shell в библиотеке с открытым исходным кодом Java Log4j вызвала тревогу в ИБ-сообществе, поскольку ее эксплуатация позволяет удаленно выполнять команды на системе. Уязвимость ставит под угрозу любую систему, доступную напрямую из браузера, мобильного устройства или вызова API, сообщает SecurityLab.
Проблема не обошла стороной такие компании, как Intel, NVIDIA и Microsoft. Intel перечислила целых девять приложений, использующих Java, которые в настоящее время содержат уязвимость: Intel Audio Development Kit, Intel Datacenter Manager, Intel oneAPI sample browser plugin for Eclipse, Intel System Debugger, Intel Secure Device Onboard, Intel Genomics Kernel Library, Intel System Studio, Computer Vision Annotation Tool и Intel Sensor Solution Firmware Development Kit. Компания работает над выпуском исправленных версий приложений, устраняющих уязвимость Log4Shell.
По результатам предварительного расследования продуктов AMD, компания не обнаружила присутствие уязвимости. Однако, учитывая потенциальное влияние проблемы, AMD «продолжает свой анализ».
Ситуация с Nvidia немного сложнее — последние выпуски приложений компании не содержат эксплуатируемую уязвимость, однако менеджеры серверов не всегда устанавливают последние обновления на свои устройства. Для таких случаев компания перечислила четыре отдельных продукта, уязвимых к Log4Shell, если используются устаревшие версии: CUDA Toolkit Visual Profiler and Nsight Eclipse Edition, DGX Systems, NetQ и vGPU Software License Server
Компания Microsoft выпустила обновления для двух своих продуктов, содержащих уязвимость Log4Shell: Azure Spring Cloud (использует определенные элементы Log4J в процессе загрузки) и приложение Microsoft Azure DevOps.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.