Gravità: critico
Versioni: Motore di streaming >Wowza = 4.8.8.01
Tipo di exploit: Vulnerabilità della sicurezza di Apache Log4j2 (CVE-2021-44228 e CVE-2021-45046)
Il 9 dicembre 2021 è stato reso pubblico un exploit zero-day che interessa la popolare utility Apache Log4j (CVE-2021-44228) che si traduce nell’esecuzione di codice remoto (RCE). Questa vulnerabilità viene sfruttata attivamente e chiunque utilizzi Log4j deve eseguire l’aggiornamento alla versione 2.15.0 il prima possibile.
L’accesso a Wowza Streaming Engine 4.8.8.01 e versioni successive utilizza una versione di Apache Log4j2 con una vulnerabilità di sicurezza (CVE-2021-44228) che coinvolge la funzionalità JNDI non protetta da LDAP controllato da un utente malintenzionato e altri endpoint correlati a JNDI.
Se hai Wowza Streaming Engine installato sul tuo sistema, dovresti applicare immediatamente la patch di aggiornamento. Se non hai installato Wowza Streaming Engine, non è richiesta alcuna azione.
Soluzione
È possibile applicare manualmente l’aggiornamento Wowza per correggere la vulnerabilità di sicurezza Apache Log4j2 o eseguire il seguente comando per applicare automaticamente tutti i passaggi.
sh -c "$(curl -sSL https://mirror.mediacp.net/download/hotfix/WSE-log4j2-patch.txt)"
