Il 9 dicembre 2021 è stato rilasciato un Proof of Concept (PoC) riguardo la vulnerabilità di livello “critico” nelle librerie Java che interessa tutte le versioni di Apache Log4j, dalla 2.0-beta9 alla 2.14.1:
CVE-2021-44228: le funzionalità JNDI di Apache Log4j2 non proteggono da LDAP controllato da aggressori e altri endpoint correlati a JNDI
CVE-2021-44228 è una falla di sicurezza grave, in quanto consente ad aggressori remoti (hackers) non autenticati di eseguire codice sui sistemi vulnerabili.
Per conoscere i dettagli di questa vulnerabilità, visitare la sezione Log4j 2.15.0 della pagina Apache Log4j Security Vulnerabilities (https://logging.apache.org/log4j/2.x/security.html#Fixed_in_Log4j_2.15.0).
La risposta di Tiesse in merito ai propri prodotti
Con la presente, Tiesse dichiara che nessuno dei propri prodotti, così come nessuno dei componenti utilizzati, è affetto dalla vulnerabilità Log4Shell – CVE-2021-44228 in quanto non sono utilizzati né il server Apache e neanche le librerie Java affette dal problema.