Sikkerhedsadvarsel om den kritiske Log4j-sårbarhed

Denne tekst er automatisk oversat for din bekvemmelighed. Du kan læse teksten på:

En sårbarhed i Log4j Log4j er et lille internt modul, der håndterer logning for Java-programmer. blev offentliggjort den 10. december 2021. Rapporter fra hele verden viser, at sårbarheden anvendes aktivt og med succes i angreb.

Log4j er et Java-baseret logningsbibliotek, der er udbredt i mange populære softwaresystemer.

Vigtigste pointer

Dette har ingen konsekvenser for Safesprings systemer.
Safesprings kunder bør stoppe de tjenester, der kan være berørt.

Hvad vi har gjort indtil videre

Heldigvis har dette ingen konsekvenser for vores systemer, og ingen tjenester er nede.

Vi må dog påpege, at vi ikke har – og ikke bør have – kendskab til, hvilke applikationer vores kunder kører, og hvordan de påvirkes af dette.

Anbefalinger til vores kunder

Stop alle tjenester, der kan være berørt
Gennemgå alle logfiler for forsøg og eventuelle vellykkede forsøg på at udnytte denne sårbarhed
Skift straks nøgler, adgangskoder og andre hemmeligheder, som et kompromis kan have lækket
Opgrader til en sikker version af Log4j, eller anvend afbødende foranstaltninger for Log4j-sårbarheden

Hvis du mener, at du ikke er sårbar, så tjek for en sikkerheds skyld én gang til.

Bemærk, at Log4j er indlejret i mange andre logningsværktøjer og i tjenester, der bruger disse værktøjer. Der findes en stadig voksende liste over berørte (og ikke-berørte).

Berørte teknologier Læs CVE-meddelelsen

Hvis vi hos Safespring har indikationer på, at tjenester eller instanser i vores infrastruktur er berørt af Log4j-sårbarheden og aktivt bliver brugt i angreb, vil vi alarmere kunden, og hvis kunden ikke handler, bliver vi nødt til at lukke disse instanser hurtigst muligt for at forhindre yderligere skade.

Vi overvåger ikke aktivt for dette, men andre kan gøre os opmærksomme på det. Det er tjenesteejerens ansvar at undersøge situationen nærmere i sådanne tilfælde.