Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 10 December 2021

2021.12.10 - Nyhetsbrev

0-dagssvakhet funnet i Apache Log4j, brukt i mange systemer og tjenester.

0-dagssvakhet funnet i Apache Log4j, brukt i mange systemer og tjenester

Apache Log4j, ett populært Java-basert rammeverk for logging, har en svakhet som gjør det mulig for angriper å fjerneksekvere vilkårlig kode på web-servere som bruker rammeverket. Apache Struts2, Apache Solr, Apache Druid, Apache Flink m.fl. bruker igjen Log4j og er også sårbare. Mange store tjenester på Internett er såbare for denne svakheten og patching pågår. Log4j kan inngå i mange systemer uten at eierne av systemene er klar over det. Det ligger allerede et Proof-of-Concept åpent ute på nettet.

De påvirkede versjonene er fra og med 2.0 til 2.14.1. Det anbefales at man oppdaterer til nyeste versjon som er log4j-2.15.0-rc2. Den tidligere rc1 viste seg å fortsatt være sårbar.
Anbefaling
Installert oppdatert versjon log4j-2.15.0-rc2.
Referanser
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://www.randori.com/blog/cve-2021-44228/
https://www.cyberkendra.com/2021/12/worst-log[...]

Posted by tsoc at 12:49

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

Subscribe to: Post Comments (Atom)
 
>