Apache log4j -haavoittuvuus ei vaadi toimenpiteitä Medanetsin asiakkailta
Tietoturvatutkijat löysivät 9.12.2021 nollapäivähaavoittuvuuden (CVE-2021-44228) Apache log4j-komponentista. Log4j on yksi yleisimmistä lokitukseen käytettävistä Java-komponenteista.
Log4j-komponenttia on mukana myös Medanetsin palvelinasennuksissa, sillä se sisältyy useisiin Java-sovelluksiin. Olemme tarkastaneet Medanetsin palvelinasennukset ja tulleet seuraaviin johtopäätöksiin:
- Asennuksissa on mukana log4j-komponentin vanhempi versio (1.2.x), joka ei ole haavoittuvainen.
- Asennuksissa on käytetty log4j-api -komponenttia (versio 2.x) ja myöskään se ei ole haavoittuvainen. Näihin ympäristöihin on kuitenkin varmuuden vuoksi lisätty korjaava konfiguraatio (LOG4J_FORMAT_MSG_NO_LOOKUPS=true).
- Parhaillaan poistamme ympäristöistä myös log4j-komponentin vanhemmat, ei-haavoittuvaiset versiot, mikäli se on mahdollista.
Tiivistettynä, haavoittuvuus ei vaikuta Medanetsin palveluihin eikä ympäristöille tarvitse tehdä välittömiä toimenpiteitä.
Lähteet:
https://logging.apache.org/log4j/2.x/security.html Vierailtu: 14.12.2021
https://jfrog.com/blog/log4shell-0-day-vulnerability-all-you-need-to-know/ Vierailtu: 14.12.2021
https://www.truesec.com/hub/blog/apache-log4j-injection-vulnerability-cve-2021-44228-impact-and-response Vierailtu: 14.12.2021
Tilaa Medanetsin uutiskirje ja pysy ajan tasalla ajankohtaisista uutisista, ratkaisuistamme sekä terveydenhuollon ja terveysteknologian trendeistä – saat myös kutsut tapahtumiimme ensimmäisten joukossa.