Google предупредила об уязвимости в библиотеке Apache Log4j 2.14.1

Google предупредила об уязвимости в библиотеке Apache Log4j версий 2.14.1 и ниже.

Функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемого злоумышленником LDAP и других конечных точек, связанных с JNDI.

Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. Начиная с Log4j 2.15.0, это поведение отключено по умолчанию. 

Чтобы работать безопасно, Google рекомендует разработчикам обновить библиотеку до версии 2.15.0. Инструкция обновления есть на сайте создателей Apache Log4j.