Säkerhetshål i loggningsramverket Log4j

Ett kritiskt säkerhetshål har upptäckts i det populära loggningsramverket log4j. Vi har skyddat alla våra servrar.

Ett kritiskt säkerhetshål (CVE-2021-44228) har upptäckts i Log4j som är ett väldigt populärt loggningsramverk i Java. Säkerhetshålet har fått namnet Log4Shell. Ramverket används av många företag av alla storlekar och är säkerhetshålet får därför stor påverkan världen över.

⚠️ Vi har redan skyddat samtliga webbhotellservrar hos oss. Har du en Gör-det-själv server hos oss är det viktigt att du patchar den om du använder Log4j. Läs mer nedan.

Information om säkerhetshålet släpptes publikt den 9:e december 2021. Säkerhetshålen får en gradering beroende på hur allvarliga de här och Log4Shell har fått maximala graden 10.0.

De flesta stora företag i världen är påverkade, bland annat företag som Apple, Cloudflare, Amazon, Google, IBM, Tesla med flera. På GitHub underhålls en lista med företag och tjänster som är påverkade.

Många tittar just nu extra på koden till Log4j och sedan nyheten släpptes har det hittats ytterligare säkerhetshål som också har fixats i nya versioner. Vi uppdaterar den här nyheten löpande.

Våra servrar är patchade

Våra webbhotellservrar, alla managed servers samt interna system är patchade.

Vi använder oss av Apache Solr för att snabba upp epost-sökning. Den använder sig i sin tur utav Log4j.

Tjänsten i sig endast nåbar lokalt från servern, kräver autentisering och är uppsatt som en egen användare utan administratörsbehörighet. Det gör att attackytan från början är väldigt liten.

Vi har inte sett några spår av intrång hos oss.

Om du har en Gör-det-själv server

Om du har en server i vår “Gör-det-själv” tjänst är det mycket viktigt att du ser till att patcha samtliga tjänster som kan vara sårbara på din server.

GitHub hittar du en lista över applikationer som har bekräftade sårbarheter. Den uppdateras löpande när nya hittas och bekräftas. Håll gärna löpande koll på den ett tag framöver.

Hur gör du för att täppa till säkerhetshålet?

Att täppa till och mitigera säkerhetshålet är enkelt. Tänk på att du förutom att täppa till bör kolla så att ingen har utnyttjat det.

Om personuppgifter eller kunddata har exponerats kan du behöva meddela både dina kunder och relevanta myndigheter.

Du har tre alternativ:

1. Uppgradera till Log4j v2.17.0

2. Kan du inte uppdatera samt använder Log4j v2.10 eller över kan du även ändra konfigurationen enligt följande:

log4j2.formatMsgNoLookups=true

Det går även att sätta en ENV variabel för att samma resultat.

LOG4J_FORMAT_MSG_NO_LOOKUPS=true

3. Du kan också ta bort JndiLookup klassen från classpath. Exempelvis genom att köra liknande kommando som tar bort den från log4j-core:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

När du gjort något av de ovanstående behöver du starta om alla tjänster som använder sig av log4j.

I en tidigare version av artikeln berättade vi att version 2.15.0 kunde vara en lösning. Den 15 december uppmärksammades att den inte heller skyddar fullständigt. Du bör alltså uppgradera till version 2.16.0.