Gravidade: crítico
Versões: Wowza Streaming Engine >= 4.8.8.01
Tipo de exploração: Vulnerabilidade de segurança do Apache Log4j2 (CVE-2021-44228 e CVE-2021-45046)
Uma exploração de dia zero que afeta o popular utilitário Apache Log4j (CVE-2021-44228) foi tornada pública em 9 de dezembro de 2021 que resulta em execução remota de código (RCE). Esta vulnerabilidade está a ser explorada activamente e qualquer pessoa que utilize o Log4j deve actualizar para a versão 2.15.0 o mais rapidamente possível.
O registro em log no Wowza Streaming Engine 4.8.8.01 e posterior usa uma versão do Apache Log4j2 com uma vulnerabilidade de segurança (CVE-2021-44228) envolvendo a funcionalidade JNDI que não está protegida contra LDAP controlado por invasor e outros pontos de extremidade relacionados à JNDI.
Se você tiver o Wowza Streaming Engine instalado em seu sistema, você deve aplicar imediatamente o patch de atualização. Se você não tiver o Wowza Streaming Engine instalado, nenhuma ação será necessária.
Solução
Você pode aplicar manualmente a atualização do Wowza para corrigir a vulnerabilidade de segurança do Apache Log4j2 ou executar o comando a seguir para aplicar todas as etapas automaticamente.
sh -c "$(curl -sSL https://mirror.mediacp.net/download/hotfix/WSE-log4j2-patch.txt)"