Viðbrögð við Log4j öryggisveikleika
Upplýsingar frá Hugsmiðjunni
Í ljósi frétta á öllum helstu miðlum um yfirvofandi ógn á heimsvísu vegna veikleika í tölvukerfum sem uppgötvaðist á fimmtudaginn vill Hugsmiðjan koma eftirfarandi upplýsingum á framfæri.
Unnið hefur verið að greiningu á veikleikanum í umhverfi Hugsmiðjunnar og hefur tækniteymið okkar unnið hörðum höndum alla helgina að því að lágmarka möguleg áhrif og samhliða unnið að lausn til að loka alfarið á þennan öryggisveikleika og koma þar með í veg fyrir mögulegt tjón vefsvæða sem hýst eru og rekin af Hugsmiðjunni.
Niðurstaðan eftir vinnu helgarinnar er sú að við höfum farið yfir Log4j veikleikann, útfært viðbragðsáætlun og unnið að lausn sem er tilbúin.
Eplica notar Log4j útgáfu sem er opin fyrir þessum veikleika og sem er nauðsynlegt að uppfæra. Öll Eplica vefsvæði í hýsingarumhverfi Hugsmiðjunnar hafa nú þegar fengið uppfærslu. Sú uppfærsla fór út í gær, sunnudaginn 12. desember.
Fyrir þá vefi sem eru með eigin hýsingu viðskiptavina er hægt að fara í þessa uppfærslu með okkar aðstoð eða á ykkar eigin vegum. Vinsamlegast hafið samband við þjónustuborð Hugsmiðjunnar fyrir nánari upplýsingar eða til að biðja um aðstoð við uppfærsluna.
Uppfærslan ætti ekki að hafa áhrif á almenna virkni á Eplica vefsvæðum en ekki er hægt að útiloka einhverjir viðskiptavinir verði varir við eitthvað breytta virkni. Þá væri það vegna þess að verið er að loka er á virkni sem gæti haft í för með sér mögulega áhættu. Vinsamlegast hafið samband við okkur ef þið verðið vör við eitthvað slíkt.
Hugsmiðjan mun upplýsa um stöðuna eftir því sem tilefni er til hér á vefnum okkar.
Uppfært - 22. desember:
Nýr Apache Log4j denial of service veikleiki CVE-2021-45105 með CVSS skor upp á 7,5 kom í ljós og Apache stofnunin hefur gefið út log4j útgáfu 2.17.0 fyrir Java 8.Til þess að þessi öryggisgalli geti verið notaður, þarf liður í log4j stilliskrá sem heitir PatternLayout að vera í tilteknu non-default formati sem á ekki við veflausnir okkar viðskiptavina. Mynstrið er hvergi til staðar í Eplica vefumsjónarkerfinu.