روز ۹ دسامبر یک آسیب‌پذیری روز صفر (Zero-day) از کتابخانه log4j گزارش شد. این آسیب‌پذیری اجازه اجرای کد از راه دور (RCE) می‌ده و جدی‌ترین آسیب‌پذیری از زمان Heartbleed و Shellshock ارزیابی شده.

کلودفلر در این نوشته وبلاگ در مورد این آسیب‌پذیری و تاریخچه‌اش توضیح داده و در بخشی از اون راهکاری برای کاهش اثر CVE-2021-44228 گفته:

کاهش اثر آسیب‌پذیری

1- بروزرسانی به Log4j نسخه 2.15.0
2- اگر از نسخه 2.10 و بالاتر Log4j استفاده می‌کنید و امکان بروزرسانی ندارید، این رو تنظیم کنید:

log4j2.formatMsgNoLookups=true

به علاوه می‌تونید این env variable رو هم تنظیم کنید.

LOG4J_FORMAT_MSG_NO_LOOKUPS=true

3- یا JndiLookup رو از classpath حذف کنید. مثلاً دستور زیر از log4j-core حذفش می‌کنه.

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

صرفنظر از اینکه log4j در استک شما مورد استفاده قرار گرفته یا خیر، در جهت شناسایی و رفع آثار مخرب احتمالی سوء استفاده از این آسیب‌پذیری به هم کمک کنیم. به این نکته هم توجه داشته باشید که ممکنه مستقیم log4j در استک شما نباشه اما از طریق محصولات دیگری مثلا elasticsearch و ... در معرض این آسیب‌پذیری باشید.