Plania og Log4j

Det har blitt oppdaget en kritisk sårbarhet i en open source komponent kalt Apache Log4j 2, som er et bibliotek for logging i Java-baserte applikasjoner. Denne sårbarheten gjør det mulig for en angriper å fjernkjøre kode via tekstlinje som logges av verktøyet. Den har blitt klassifisert som kritisk, som er den høyeste klassifiseringen en sårbarhet kan oppnå i CVSS-systemet. Det er idag flere applikasjoner i Norge som benytter seg av dette programvareverktøyet. 

Plania systemet refererer til log4j i sine biblioteker, men vår implementasjon benytter ikke log4j til logging. Ingen sårbarhet basert på Log4j er identifisert innenfor Plania programvaren. 

JavaScript biblioteker som blir benyttet i Plania:

1) Gammel mobil (mobil v1) benytter momentjs som benytter en pakke som heter log4js. Dette er et bibliotek i Javascript, det er ikke påvirket av sikkerhetsfeilen, ref https://github.com/log4js-node/log4js-node/issues/1105

2) Crystal Reports har en referanse til log4javascript. Det er en JS variant av biblioteket av log4j, men er laget i JavaScript, ikke Java. Forklaring på hvorfor sårbarheten ikke finnes i JavaScript biblioteket er her: https://stackoverflow.com/a/70339086. Selve biblioteket finnes her: http://log4javascript.org/