Про уязвимости в библиотеке Log4j языка Java — в продуктах Set все под контролем

Уважаемые клиенты CSI! 

В интернете появились новости о критической уязвимости CVE-2021-44228 в библиотеке Apache Log4j (уровень опасности 10 из 10 по шкале CVSS). Эта библиотека используется миллионами Java-приложений для регистрации сообщений об ошибках. Подробнее

Наши облачные сервисы (Set Loyalty, Set Galya, Сервис регистрации, Сервис лицензирования), открытые для потенциальных атак, не содержат указанной уязвимости, но мы проверили и продукты, которые находятся в защищенном контуре клиентов.

Уязвимость возникает только при использовании библиотеки log4j-core-2.XX.X.jar версии 2.XX.X. Мы выпустили исправление в наиболее распространенных версиях Set Retail — перечень версий, в которых выпущено исправление, вы найдёте по ссылке

Поводов для беспокойства нет. Если вы хотите быть уверены на 100% даже в защите от атак изнутри — рекомендуем в январе 2022 года обновиться на одну из указанных выше версий. Если у вас остались вопросы — обращайтесь! 

Всю информацию по этой теме мы подытожили на внутреннем портале: 

  • Особенности использования библиотеки,

  • Продукты и использование библиотек log4j в экосистеме Set Retail,

  • Дополнительная информация по безопасности log4j.