Tidigare i december upptäcktes en zero–day-sårbarhet i Java-biblioteket Log4j, även känt som Log4Shell (CVE-2021-44228). Sedan sårbarheten upptäcktes har det publicerats flera nya patchningar för att mitigera brister och sårbarheter i tidigare versioner.
Den senaste remote code execution-sårbarheten upptäcktes den 27:e december i Log4j 2.17.0 (CVE-2021-44832). Sårbarheten påverkar alla Log4j-versioner från 2.0-alpha7 till 2.17.0 förutom 2.3.3 och 2.12.4.
Använder ni äldre versioner av Log4j finns det risk för att ni är utsatta. Vi rekommenderar att se över era servrar med t.ex. ett open-source script och omedelbart uppdatera till den nya versionen 2.17.1. Patcha löpande vid nya versioner.
Mer information och vidare läsning:
https://blog.it-total.se/securityalert/omfattande-sårbarhet-i-populärt-java-bibliotek
https://www.cisa.gov/uscert/ncas/alerts/aa21-356a