Öryggisveikleiki í java kóðasafni Log4Shell
Veikleiki sem uppgötvaðist 9. desember 2021
Flestum ætti að vera ljóst eftir fréttalestur og tilkynningar frá Þekkingu til viðskiptavina sinna að veikleiki uppgötvaðist þann 9. desember í java library sem kallast “Log4Shell” (log4j) CVE-2021-44228. Um er að ræða veikleika sem snýr að mestu að apache (linux) vefþjónustum.

Algengar spurningar
Framvinda
15. desember 2021
Eins og komið hefur fram í tilkynningum frá Þekkingu, þá höfum við verið með mikinn viðbúnað vegna veikleikans ,,Log4Shell” (log4j) CVE-2021-44228. Hópur sérfræðinga hefur verið í vinnu undanfarna daga að kortleggja áhrifin bæði á okkar eigin kerfum sem og skoða kerfi viðskiptavina. Við höfum gert viðeigandi ráðstafanir varðar innviði Þekkingar og viðskiptavina. Búið er að hafa samband við þá viðskiptavini sem eru útsettir fyrir veikleikanum og hefur verið girt fyrir veikleikann þar sem þeir hafa fundist með uppfærslum eða tímabundnum aðgerðum.
Þekking vill samt sem áður benda á mikilvægi þess að fyrirtæki athugi önnur kerfi hjá sér sem eru t.d. í þjónustu hjá öðrum aðilum varðar þennan veikleika. Þekking getur aðstoðað við að kortleggja stöðuna ef óskað er eftir því.
Fyrirtæki sem eru ekki í rekstrarþjónustu Þekkingar en eru í hýsingu eru hvött til þess að hafa samband við okkur til þess að óska eftir skoðun á þeirra kerfum. Áfram er unnið að frekari skoðunum og kortlagningu ásamt lagfæringum í samstarfi við birgja sem eiga í hlut og eru að nýta log4j kóða í sínum lausnum.
Þjónustuver Þekkingar aðstoðar og veitir frekari upplýsingar ef þörf er á í síma 460 3110 eða á verk@thekking.is
Nánari upplýsingar um öryggisgallann:
Netöryggisveit CERT-IS hefur verið virkjuð
13. desember 2021
Þekking hefur verið með mikinn viðbúnað vegna þessa og hefur hópur sérfræðinga verið í vinnu alla helgina við að kortleggja áhrifin af þessum hugbúnaðargalla bæði á okkar eigin kerfum sem og skoða kerfi viðskiptavina.
Vinnuhópurinn hefur farið yfir alla linux vefþjóna og opnanir inn á þá en það er vinna framundan að greina og skoða möguleika á uppfærslum með hugbúnaðarframleiðendum. Búið er að hafa samband við þá viðskiptavini sem eru útsettir fyrir veikleikanum og hefur verið girt fyrir veikleikann þar sem þeir hafa fundist með uppfærslum eða tímabundnum aðgerðum.
Áfram er unnið að frekari skoðunum og kortlagningu ásamt lagfæringum í samstarfi við birgja sem eiga í hlut og eru að nýta log4j kóða í sínum lausnum.
Hafir þú áhuga á samtali um öryggislausnir hvetjum við þig til að hafa samband við okkur.
Nánari upplýsingar um öryggisgallann:
Netöryggisveit CERT-IS hefur verið virkjuð