Viktig information angående log4j: CVE-2021-44228

Aktuell CVE är: CVE-2021-44228: https://nvd.nist.gov/vuln/detail/CVE-2021-44228 och har blivit rankad 10.0 av 10.0 i hur kritisk den är. Sårbara versioner av ramverket är: Log4j 2.0-beta9 till 2.14.1.

Nedan är information från produktleverantörerna (TDialog/TDirect, PhenixID) innehållandes rekommenderade åtgärder.

Rekommenderade åtgärder:

• Patcha genom uppgradering till log4j version 2.15.0: https://logging.apache.org/log4j/2.x/download.html
• Om patchning genom uppgradering inte är möjlig, sätt följande i er runtime konfiguration för Java på sårbar server: log4j2.formatMsgNoLookups=true och starta om applikationen
• Ta bort aktuell sårbar Javaklass från classpath i Java, ex: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class och starta om applikationen

Java 8u121 (se https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) skyddar från remote code execution per default genom att följande värden är default är satta till false: “com.sun.jndi.rmi.object.trustURLCodebase” och “com.sun.jndi.cosnaming.object.trustURLCodebase”.

Det är även möjligt att tillfälligt hantera sårbarheten via sin brandvägg som en virtuell patch och/eller om man använder IPS. Om man inte kan vidta åtgärderna ovan rekommenderar vi att man blockar aktuell Javabaserad tjänst i sin brandvägg eller att man stänger ner aktuell tjänst.

Länk till information angående Nexus produkter: https://doc.nexusgroup.com/pages/viewpage.action?pageId=83133294

Om ni har några frågor så kontakta oss på support@certezza.net