Det er avdekket en kritisk sårbarhet ved Apache Log4j/Log4j2
Artikkelen er oppdatert: 20 desember kl 14:06
Sårbarheten gjelder for alle versjoner av Log4j mellom 2.0 og 2.14.1, sansynligheten for at en java applikasjon benytter seg av log4j er svært høy.
Sårbarheten er navngitt CVE-2021-44228. Evaluering er satt til 10.0 Critical
Nær til alle java applikasjoner benytter seg av Log4j for internlogging, og Netsecurity anbefaler alle å gjennomgå sine instillinger for Log4j. Det er mulig å skru av logging, selv på versjoner mellom 2.0 og 2.14.1. Versjon 2.15.0 har logging skrudd av som standard instilling.
Tilsynelatende er JDK versjoner større gitt liste, ikke affekterte av LDAP angreps vektor.
I disse versjonene er com.sun.jndi.ldap.object.trustURLCodebase satt til false, som betyr at JNDI ikke kan laste ekstern codebase via LDAP.
Det er dog andre angreps vektorer enn LDAP, mye avhengig av kode som kjøres på den aktuelle server. Vær særdeles oppmerksom på trafikk fra innside som går ut mot Internett på porter:
389","636","3269","3268"
Vi anbefaler også å følge NSM sin samleside for Log4j: her.
Artikkelen er oppdatert: 20 desember kl 14:06