Google предупредил об уязвимости в библиотеке Apache Log4j версий 2.14.1 и ниже. Функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемого злоумышленником LDAP и других конечных точек, связанных с JNDI.
Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. Начиная с Log4j 2.15.0, это поведение отключено по умолчанию.
Для безопасной работы Google рекомендует разработчикам обновить библиотеку до версии 2.15.0. Инструкция обновления есть на сайте создателей Apache Log4j.
Сотрудник Google Джон Мюллер дал несколько советов на тот случай, если нужно временно отключить сайт для внесения изменений в связи с уязвимостью в Log4j.
- Создать статическую версию сайта.
- Скопировать сайт, а также ознакомиться с советами Google о том, как приостановить бизнес и сохранить позиции в Google.
- Разместить его на том же домене. В противном случае использовать 302 редиректы. Однако они начнут учитываться только спустя несколько дней, поэтому редиректов по возможности лучше избегать.
- Не переживать, т.к. временные отключения не вредят сайту в долгосрочной перспективе.