Bezpečnostní chyba Javy v log4j se nedotýká systémů Z-WARE

V některých Java aplikacích (iCanteen, iReS) naší společnosti se logovací framework Log4j používá ve verzi, která není postižena zranitelností nazývanou jako Log4Shell (CVE-2021-44228). V aplikacích iCanteen a iReS využíváme Log4j verze 1.2.x a v konfiguraci, která není problematická. Žádná verze aplikace iCanteen a iReS není postižena touto zranitelností. 

V některých Java aplikacích (iCanteen, iReS) naší společnosti se logovací framework Log4j používá ve verzi, která není postižena zranitelností nazývanou jako Log4Shell (CVE-2021-44228). V aplikacích iCanteen a iReS využíváme Log4j verze 1.2.x a v konfiguraci, která není problematická. Žádná verze aplikace iCanteen a iReS není postižena touto zranitelností. 

Podrobnější zdůvodnění:

Dne 10. 12. 2021 v dopoledních hodinách jsme provedli prověření, zda se nás zranitelnost Log4Shell (CVE-2021-44228) dotýká. Ačkoli jsme se nejdříve domnívali, že pokud by byla použita Java <=8u191 a potenciálně i vyšších verzích, tak by se nás zranitelnost týkat mohla a byli jsme připraveni začít s mitigací, tak podrobnější investigací se ukázalo, že log4j ve verzi 1.2.x  je potenciálně zranitelné jen pokud se používá explicitně konfiguraci s JNDI zdrojem, který je možné v této verzi konfigurovat pouze s přístupem k serveru nikoli jako uživatelský vstup jako je ve verzi >=2.0.0-beta9 <=2.14.1.

Běžný proces detekce zranitelností v knihovnách třetích stran obsažených v produktu probíhá s využitím automatického detektekčního systému Snyk.io. V tomto případě jsme však kvůli vysoké závažnosti zahájili interní investigaci dříve, než byla zranitelnost zanesena ve znalostních bázích, protože tam se objevila až v noci z pátku na sobotu 11. 10. 2021.

Docházkového systému se problematika také netýká.  Zmiňovanou knihovnu docházkový systém nevyužívá. 

Žádná aplikace/program společnosti Z-WARE není tedy postižena, protože komponenta log4j 1.2.x, kterou používáme, NENÍ touto zranitelností postižena.

Plánujeme povýšení log4j na verzi 2.15.