Недавно была обнаружена уязвимость Java (Log4Shell), которая настолько серьезна, что позволяет злоумышленнику удаленно выполнять команды на эксплуатируемой машине. Уязвимость, обнаруженная Национальным институтом стандартов и технологий (NIST) в соответствии с CVE-2021-44228, затрагивает библиотеку логирования Apache, широко используемом серверном пакете с открытым исходным кодом. Уязвимость ставит под угрозу любую систему, доступную напрямую из браузера, мобильного устройства или вызова интерфейса прикладного программирования (или API).
В то время как AMD объявила, что ее программные продукты защищены от эксплойта, Intel перечислила целых девять приложений, использующих Java, которые в настоящее время уязвимы.
- Intel Sensor Solution Firmware Development Kit
- Intel System Studio
- Intel Audio Development Kit
- Intel System Debugger
- Intel Secure Device Onboard
- Intel Datacenter Manager
- Intel Genomics Kernel Library
- Инструмент аннотации компьютерного зрения, поддерживаемый Intel
- Intel oneAPI sample browser plugin for Eclipse
Эксплойт в службе Apache Log4J позволяет хакеру обмануть целевой сервер, чтобы загрузить и запустить произвольный (вредоносный) код, который может быть размещен на сервере, контролируемом злоумышленником, в обход нескольких уровней программных решений безопасности. Важно отметить, что эксплойт не требует физического доступа к системе. Его можно запустить через любой сервер, у которого есть доступ к браузеру. Это объясняет, почему уязвимость была отнесена к наивысшему возможному значению рекомендаций «CVSS 3.0»: 10. В настоящее время Intel работает над предоставлением обновленных версий этих приложений, которые снижают уязвимость.
AMD объявила, что после предварительного расследования ни один из их продуктов, похоже, не подвержен данной уязвимости. Однако AMD заявила, что «продолжает свой анализ».
Ситуация с Nvidia немного сложнее: при использовании последних выпусков для служб каждого приложения в настоящее время нет известных уязвимостей, которые можно использовать. Однако менеджеры серверов не всегда устанавливают последние обновления на свои машины, и для них компания перечисляет четыре отдельных продукта, уязвимых для «Log4Shell», если они устарели:
- CUDA Toolkit Visual Profiler и Nsight Eclipse Edition
- DGX Systems
- NetQ
- Сервер лицензий на программное обеспечение vGPU
Кроме того, Nvidia распространяет свои корпоративные вычислительные системы DGX с пакетами Ubuntu-Linux, и пользователи могут самостоятельно установить функциональный блок Apache Log4J. Таким образом, в готовой конфигурации системы невосприимчивы. Но в тех случаях, когда была установлена служба Log4J, Nvidia предлагает пользователям обновить службу до последней версии, что блокирует уязвимость.
Что касается Microsoft, компания выпустила обновления для двух своих продуктов, нацеленных на эту уязвимость: ее Azure Spring Cloud использует определенные элементы Log4J в процессе загрузки, что делает его уязвимым для эксплойтов, если оно не обновлено. Приложение Microsoft Azure DevOps также получило меры по устранению уязвимости.
