9151

Apache log4j -haavoittuvuus ei vaadi toimenpiteitä Medanetsin asiakkailta

Tietoturvatutkijat löysivät 9.12.2021 nollapäivähaavoittuvuuden (CVE-2021-44228) Apache log4j-komponentista. Log4j on yksi yleisimmistä lokitukseen käytettävistä Java-komponenteista.

Log4j-komponenttia on mukana myös Medanetsin palvelinasennuksissa, sillä se sisältyy useisiin Java-sovelluksiin. Olemme tarkastaneet Medanetsin palvelinasennukset ja tulleet seuraaviin johtopäätöksiin:

  • Asennuksissa on mukana log4j-komponentin vanhempi versio (1.2.x)joka ei ole haavoittuvainen. 
  • Asennuksissa on käytetty log4j-api -komponenttia (versio 2.x) ja myöskään se ei ole haavoittuvainen. Näihin ympäristöihin on kuitenkin varmuuden vuoksi lisätty korjaava konfiguraatio (LOG4J_FORMAT_MSG_NO_LOOKUPS=true).
  • Parhaillaan poistamme ympäristöistä myös log4j-komponentin vanhemmat, ei-haavoittuvaiset versiot, mikäli se on mahdollista.

Tiivistettynä, haavoittuvuus ei vaikuta Medanetsin palveluihin eikä ympäristöille tarvitse tehdä välittömiä toimenpiteitä.

Lähteet: 

https://logging.apache.org/log4j/2.x/security.html Vierailtu: 14.12.2021

https://jfrog.com/blog/log4shell-0-day-vulnerability-all-you-need-to-know/ Vierailtu: 14.12.2021

https://www.truesec.com/hub/blog/apache-log4j-injection-vulnerability-cve-2021-44228-impact-and-response Vierailtu: 14.12.2021

 


Tilaa Medanetsin uutiskirje ja saat ajankohtaista tietoa meistä, ratkaisuistamme sekä terveydenhuoltoon ja terveysteknologiaan liittyvistä aiheista yhteen koottuna.