Säkerhetsuppdatering
Den 9 december uppdagades en sårbarhet (CVE-2021-44228) i det Javabaserade Log4J-biblioteket. Sårbarheten består i möjlighet till Remote Code Execution och har fått nivån 10 på en 10-gradig skala. Sårbarheten är alltså lätt att utnyttja och kan får stora konsekvenser.
Log4J används i Apache (Struts 2, Solr, Druid coh Fink) men effekten av denna sårbarhet har potential att bli mycket stor då Log4J-modulen används i mängder av andra produkter/applikationer i nästan alla branscher. Detta inkluderar produkter från stora leverantörer som Cisco, vmWare, Apple, NetApp mfl.
För dom system som är drabbade bör man invänta en uppdatering från leverantören. Men för de som byggt egna java-lösningar och vet hur man uppdaterar det aktuella Log4J-biblioteket så är sårbarheten enl uppgift åtgärdad i version 2.15.0
Vi och våra driftspartners rekommenderar att man försöker minimera exponering av javabaserade system mot internet och kontrollerar med Addedo och eller sin programvaruleverantör om aktuell produkt är sårbar.
De åtgärder som kan vidtas nu är följande:
• Begränsa exponering av misstänkt system mot Internet.
• Om möjligt begränsa även exponering mot interna nät
• Verifiera om aktuellt system är Javabaserat och använder aktuellt logbibliotek
• Vänta på uppdatering från leverantör