Čtyři měsíce po objevení kritické zero-day chyby Log4Shell zůstávají miliony Java aplikací stále zranitelné.
Výzkumníci z bezpečnostní firmy Rezilion analyzovali aktuální potenciální útok na zranitelnost populárního open-source frameworku Apache Struts, který hrozil rozbitím internetu, když byl v prosinci objeven. Chyba ve všudypřítomné protokolovací knihovně Java Apache Log je snadno zneužitelná a může umožnit neautentizované vzdálené spuštění kódu (RCE) a úplné převzetí serveru.
Společnost Rezilion očekávala, že kvůli masivnímu mediálnímu pokrytí bude většina aplikací již opravena, uvedl vedoucí výzkumu zranitelnosti Yotam Perkal. Jejich analýza však ukázala něco jiného.
„Zjistili jsme, že to není zdaleka ideální a mnoho volně přístupných aplikací zranitelných vůči Log4Shell stále existuje,“ napsal Perkal ve zprávě.
Více zde: threatpost.com