Sikkerhetsvarsel om kritisk Log4j-sårbarhet

Denne tekst er automatisk oversat for din bekvemmelighed. Du kan læse teksten på:

En sårbarhet i Log4j Log4j er en liten intern modul som håndterer loggføring for Java-programmer. ble kunngjort 10. desember 2021. Rapporter fra hele verden viser at sårbarheten brukes aktivt og med hell i angrep.

Log4j er et Java-basert loggeverktøy som er mye brukt i populære programvaresystemer.

Viktige punkter

Dette har ingen konsekvenser for Safesprings systemer.
Safespring-kunder bør stoppe sine tjenester som kan være berørt.

Hva vi har gjort så langt

Heldigvis har dette ingen konsekvenser for systemene våre, og ingen tjenester er nede.

Vi må likevel påpeke at vi ikke har, og heller ikke skal ha, kunnskap om hvilke applikasjoner kundene våre kjører og hvordan de påvirkes av dette.

Anbefalinger til kundene våre

Stopp alle tjenester som kan være berørt
Gå gjennom alle logger på jakt etter forsøk og eventuelle vellykkede forsøk på å utnytte denne sårbarheten
Bytt umiddelbart ut hemmeligheter som et kompromiss kan ha lekket
Oppgrader til en sikker versjon av Log4j eller ta i bruk avbøtende tiltak for Log4j-sårbarheten

Hvis du mener at du ikke er sårbar, vennligst kontroller én gang til for sikkerhets skyld.

Vær oppmerksom på at Log4j er innebygd i mange andre loggeverktøy og i tjenester som bruker disse verktøyene. Det finnes en stadig voksende liste over berørte (og ikke-berørte).

Berørte teknologier Les CVE-kunngjøringen

Dersom vi i Safespring får indikasjoner på at tjenester eller instanser i vår infrastruktur er berørt av Log4j-sårbarheten og aktivt brukes i angrep, vil vi varsle kunden, og hvis kunden ikke iverksetter tiltak, må vi stenge disse instansene så snart som mulig for å forhindre ytterligere skade.

Vi overvåker ikke aktivt for dette, men andre kan varsle oss. Det er tjenesteeiers ansvar å undersøke situasjonen nærmere i slike tilfeller.