A seguito della scoperta pochi giorni fa della vulnerabilità denominata CVE-2021-44228 nella libreria Apache Log4j (utilizzata in tutto il mondo su software Java), AXIOS Informatica si è adoperata tempestivamente per mettere in completa sicurezza tutti le installazioni interessate.
Nel dettaglio, abbiamo provveduto a mitigare la vulnerabilità senza intaccare le attuali procedure in essere, andando a rimuovere da tutti i software AXIOS Informatica (installati presso i server attivi) la classe Jndilookup – da AXIOS Informatica non utilizzata – evitando così possibili sfruttamenti del JNDI lookup anche per servizi RMI/JMX ecc.
Dichiariamo quindi sicure tutte installazioni cloud per quanto riguarda il software AXIOS Informatica.
Inoltre, già con i prossimi rilasci dei nostri software, verrà introdotta la libreria patchata uscita il 6 dicembre 2021.
Abbiamo tracciato tale Issues con l’ID n.10, da tenere come riferimento in caso di necessità future relative alla questione in oggetto.
Altre informazioni relative all’accaduto si possono trovare presso il sito dell’Agenzia per la Cybersicurezza Nazionale: