Log4J (CVE-2021-44228)
Plania er kjent med sikkerhetshullet i Log4j. Vi ønsker å gjøre våre kunder oppmerksomme på at Plania ikke er berørt av denne sårbarheten.
Det har blitt oppdaget en kritisk sårbarhet i en open source komponent kalt Apache Log4j 2, som er et bibliotek for logging i Java-baserte applikasjoner. Denne sårbarheten gjør det mulig for en angriper å fjernkjøre kode via tekstlinje som logges av verktøyet. Den har blitt klassifisert som kritisk, som er den høyeste klassifiseringen en sårbarhet kan oppnå i CVSS-systemet. Det er idag flere applikasjoner i Norge som benytter seg av dette programvareverktøyet.
Plania systemet refererer til log4j i sine biblioteker, men vår implementasjon benytter ikke log4j til logging. Ingen sårbarhet basert på Log4j er identifisert innenfor Plania programvaren.
JavaScript biblioteker som blir benyttet i Plania:
1) Gammel mobil (mobil v1) benytter momentjs som benytter en pakke som heter log4js. Dette er et bibliotek i Javascript, det er ikke påvirket av sikkerhetsfeilen, ref https://github.com/log4js-node/log4js-node/issues/1105
2) Crystal Reports har en referanse til log4javascript. Det er en JS variant av biblioteket av log4j, men er laget i JavaScript, ikke Java. Forklaring på hvorfor sårbarheten ikke finnes i JavaScript biblioteket er her: https://stackoverflow.com/a/70339086. Selve biblioteket finnes her: http://log4javascript.org/
Kommentarer
Logg på hvis du vil legge inn en kommentar.