1,K
I fredags upptäcktes en mycket allvarlig sårbarhet i den populära öppen källkods-programvaran, Apache Log4j 2.
Snyk, det ledande företaget inom utvecklarsäkerhet, varnar nu för den mycket stora risken sårbarheten kan innebära för många företag.
Sårbarheten, som går under namnet Log4Shell, klassas som 10 på en tiogradig skala av CVSS (den branschstandard som används för att bedöma graden av säkerhetsproblem i programvara eller system). Sårbarheten finns i det populära Java-loggningsramverket och har publicerats som CVE-2021-44228.
Många företag världen över använder Apache Log4j 2, inklusive många i Sverige. Med tanke på den mycket allvarliga sårbarheten är det absolut nödvändigt att företag uppdaterar Log4j 2. Alla versioner upp till 2.14.1 innehåller sårbarheten, varför uppdateringar måste göras till version 2.15.0 eller senare. Detta är det enda sättet att åtgärda säkerhetsbristen.
Brian Vermeer
Brian Vermeer, Senior Developer Advocate och Java Champion på Snyk, betonar:
- Många applikationsramverk i Java-ekosystemet använder detta loggningsramverk som standard, säger Brian Vermeer, Senior Developer Advocate och Java Champion på Snyk. Till exempel är Apache Struts 2, Apache Solr och Apache Druid alla påverkade. Dessutom används Apache Log4J också i många Spring- och Spring Boot-applikationer. Jag vill betona att situation är mycket allvarlig. Det finns för närvarande varningar från hela branschen om att angripare aktivt letare efter servrar som är sårbara för Log4Shell-attacker. Vi rekommenderar alla att kontrollera och uppdatera sina applikationer till den senaste versionen.
