Log4Shell - Nuova vulnerabilità 0-day libreria apache Log4j
É stata appena scoperta un nuova vulnerabilità 0-day, etichettata come CVE-2021-44228, che riguarda tutti gli applicativi e siti web che usano la libreria Log4j di apache.
La vulnerabilità è stata denominata Log4Shell e ha ottenuto 10 punti su 10 nella scala di valutazione della vulnerabilità CVSS. Il bug consente l'esecuzione di codice remoto non autenticato (RCE).
Ad aggravare il problema, risulta sia già stato dimostrata la sfruttabilità da remoto di tale vulnerabilità, senza peraltro necessità di particolari competenze tecniche.
Se utilizzante software di terzi che utilizzando la libreria Log4j, raccomandiamo di intervenire con urgenza installando la patch rilasciata da apache o applicando il workaround suggerito.
BLS ha già provveduto a mettere in sicurezza i propri sistemi e a contattare i propri clienti dotati di sistemi potenzialmente esposti.
Per qualunque chiarimento, BLS è a disposizione con il suo supporto tecnico (per i clienti) e con l'ufficio commerciale al