10 декабря 2021 г. была выявлена критичная уязвимость библиотеки Apache Log4j (CVE-2021-44228). Zero-day уязвимость Log4j позволяет выполнение произвольного кода в программах на языке Java через журнал логирования.
Мы провели аудит ПО и предприняли необходимые меры по защите нашей инфраструктуры. Результаты аудита показали, что все данные клиентов PricePlan в безопасности и не были подвержены опасности.
Основной код платформы PricePlan написан на языке Pуthon и не использует log4j. Все используемые нами сторонние сервисы не были подвержены уязвимости (PostgreSQL, Sentry, Elastic, Logstash, Kibana, Rabbit MQ).
Уязвимая библиотека log4j выявлена только в нашем багтракере Youtrack. Сервис установлен на отдельном сервере в Финляндии и никак не связан с нашей основной инфраструктурой. Защита Youtrack сервера уже реализована нашими инженерами при помощи установки патча № 2021.4.36179 от JetBrains.
Все детали и ссылки на сообщения вендоров стороннего ПО
VK9274
Комментарии
Пока комментариев нет
Новый комментарий