Sårbarheten vurderes stadig som særlig kritisk da den i prinsippet berører alt som er integrert mot og logges av Log4j, hvilket omfatter et foreløpig uavklart, men likevel stort antall utbredte tjenester.

Apache publiserte 10.desember versjon 2.15.0 av log4j, som tidligere var henvist til som versjon 2.15.0-rc2. Dette betyr at 2.15.0 og 2.15.0-rc2 i utgangspunktet er like, og at begge adresserer sårbarheten4,8. Vi anbefaler systemeiere å oppdatere sine systemer til 2.15.0 så raskt det lar seg gjøre.

NCSC vil gjøre oppmerksom på at den nyeste, patchede versjonen (2.15.0) av log4j, i likhet med alle versjoner over 2.12.1, krever Java 8. Dette betyr at virksomheter som ønsker å oppdatere biblioteket potensielt også må oppdatere sin Java-versjon om dette ikke allerede er gjort4,5.

Merk at Java versjon 8u121 (lansert 2017-01-17) har ekstra sikkerhetsmekanismer som standard for å minske faren for fjerneksekvering av kode5. Innstillingene som styrer dette er satt til `false` som standard i Java versjon 8u121 og senere: 

  • com.sun.jndi.rmi.object.trustURLCodebase
  • com.sun.jndi.cosnaming.object.trustURLCodebase

Dersom disse sikkerhetsmekanismene manuelt er skrudd av er man sårbar.

I følge skaperen av log4j skal ikke versjon 1.x være sårbar, men det er viktig å merke seg at denne ikke har vært vedlikeholdt siden 2015 og inneholder flere andre sårbarheter6,7.

NCSC vil sende ut oppdatert informasjon fortløpende og vi ønsker å vise til vårt tidligere varsel for ytterligere vurderinger og tiltak3.

NCSC er tilgjengelig 24/7 på 02497 og [email protected]

Referanser:

1[NCSC-NO#21375915] [TLP:HVIT][NCSC-varsel] Kritisk sårbarhet i Apache Log4j

2[NCSC-NO#21551146] [TLP:HVIT][NCSC-Varsel] Oppdatert varsel for kritisk sårbarhet i Apache Log4j2

3[NCSC-NO#21429282][NCSC-varsel] VIKTIG - Oppdatering: Kritisk sårbarhet i Apache Log4j

4https://logging.apache.org/log4j/2.x/download.html

5https://www.oracle.com/java/technologies/javase/8u121-relnotes.html

6https://twitter.com/ceki/status/1469696174537990150

7http://slf4j.org/log4shell.html

8https://github.com/apache/logging-log4j2/tags