<div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr"><br></div><div lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word"><div class="m_-5648356628703170556WordSection1">

<table border="0" cellspacing="0" cellpadding="0" style="border-collapse:collapse">

<tbody>

<tr>

<td width="312" valign="top" style="width:233.75pt;border:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal"><b>Summary<u></u><u></u></b></p>

</td>

<td width="546" valign="top" style="width:409.35pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt">

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal">A critical vulnerability was recently discovered in Apache Log4j 2, that allows for unauthenticated remote code execution. The vulnerability, tracked as CVE-2021-44228 and referred to as “Log4Shell,”

 affects Java-based applications that use Log4j 2 versions 2.0 through 2.14.1. <u></u>

<u></u></p>

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal">Log4j 2 is a Java-based logging library that is widely used in business system development, included in various open-source libraries, and directly embedded in major software applications. The

 scope of impact has expanded to thousands of products and devices, including Apache products such as Struts 2, Solr, Druid, Flink, Swift, Karaf, and others.<u></u><u></u></p>

</td>

</tr>

<tr>

<td width="312" valign="top" style="width:233.75pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal"><b>Description<u></u><u></u></b></p>

</td>

<td width="546" valign="top" style="width:409.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal">The vulnerability is a remote code execution vulnerability that can allow an unauthenticated attacker to gain complete access to a target system.

<u></u><u></u></p>

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal">It can be triggered when a specially crafted string is parsed and processed by the vulnerable Log4j 2 component. This could happen through any user provided input.<u></u><u></u></p>

</td>

</tr>

<tr>

<td width="312" valign="top" style="width:233.75pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal"><b>Versions affected<u></u><u></u></b></p>

</td>

<td width="546" valign="top" style="width:409.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal">Apache Log4j2 versions:<u></u><u></u></p>

<ul style="margin-top:0in" type="disc">

<li class="m_-5648356628703170556MsoListParagraphCxSpFirst" style="margin-bottom:0in;line-height:normal">

2.0-beta9 <u></u><u></u></li><li class="m_-5648356628703170556MsoListParagraphCxSpMiddle" style="margin-bottom:0in;line-height:normal">

2.12.1 <u></u><u></u></li><li class="m_-5648356628703170556MsoListParagraphCxSpMiddle" style="margin-bottom:0in;line-height:normal">

2.13.0 <u></u><u></u></li><li class="m_-5648356628703170556MsoListParagraphCxSpLast" style="margin-bottom:0in;line-height:normal">

2.14.1<u></u><u></u></li></ul>

</td>

</tr>

<tr>

<td width="312" valign="top" style="width:233.75pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt">

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal"><b>Recommendation<u></u><u></u></b></p>

</td>

<td width="546" valign="top" style="width:409.35pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal">The recommended action is to update Apache Log4j 2. An application restart will be required. 

<u></u><u></u></p>

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal">All systems, including those that are not internet facing, are potentially vulnerable to these vulnerabilities, so backend systems and microservices should be upgraded. 

<u></u><u></u></p>

<p class="MsoNormal" style="margin-bottom:0in;line-height:normal">No Java version can mitigate these vulnerabilities.

<u></u><u></u></p>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal"><u></u><br></p></div></div>

</div></div>