NCSC ønsker å varsle om en sårbarhet i det Java-baserte loggverktøyet Apache Log4j som ble publisert på Twitter 9. desember1. Unyttelse av sårbarheten tillater fjernkjøring av kode ved at en angriper sender en spesielt utformet tekstlinje som logges av verktøyet.

I følge åpne kilder skal alle versjoner av Apache log4j mellom 2.0 og 2.14.1 være sårbare. Versjon 2.15.0-rc1 skal ikke være sårbar og ligger tilgjengelig i Apache sitt Github-repo2. En midlertidig mitigering av sårbarheten skal også være publisert på Github, men NCSC har ikke verifisert om denne fungerer3.

Det foreligger åpent tilgjengelig utnyttelseskode (proof-of-concept) for sårbarheten4.

NCSC anbefaler som alltid at alle systemeiere oppdaterer berørte systemer så raskt dette lar seg gjøre.

Referanser:

1https://twitter.com/P0rZ9/status/1468949890571337731

2https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

3https://github.com/apache/logging-log4j2/pull/608

4https://github.com/tangxiaofeng7/apache-log4j-poc