Sårbarhet i Apache Log4j biblioteket (Log4Shell)

Nedan är samlad information kring frågeställningar som kommit från kunder om hur ReachMee påverkas av den sårbarhet som upptäcks i Appache Java modul Log4j


Fråga: Använder Talentech Apache Log4j inom den tekniska plattformen för Reachmee? 

Svar: Ja, vi använder ELK (Elastic Search, Logstash och Kibana) och Apache Kafka 
  

Fråga: Innehåller någon av Talentech’s miljöer som hanterar kunders information en sårbar version av Log4j? 

 

Svar: Nej 

Vi har uppdaterat förekomster av Apache Log4j i ELK enligt rekommendation och med de uppdaterade versioner som släppts sedan sårbarheten upptäcktes.

 

Gällande Apache Kafka så är riskbedömningen begränsad (se källor nedan) och dessutom endast gäller om ”Chainsaw” är aktiverat vilket den inte är i vår plattform. Uppgradering av komponenten sker löpande.

 

Fråga: Påverkas någon av Talentech’s leverantörer av sårbarheten? 
 Svar: Nej 

 

Fråga: Finns det anledning att befara att kunders data varit tillgängligt för utomstående? 
 Svar: Nej 

 

Övrig information:  

  • Talentech följer noggrant utvecklingen kring denna allvarliga sårbarhet och kommer omedelbart agera om ytterligare produkter än de redan kända visar sig ha påverkan för oss och våra kunder. 
  • Ingen åtgärd krävs hos kunder kopplat till våra tjänster. 

 

Källor:

https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 

https://github.com/cisagov/log4j-affected-db 

https://cert.se/2021/12/uppdatering-om-det-allvarliga-laget-gallande-sarbarheten-i-log4j 

https://www.xeotek.com/is-apachekafka-vulnerable-to-log4j2-exploit/ 

https://www.cvedetails.com/cvss-score-charts.php?product_id=48980&fromform=1

https://kafka.apache.org/cve-list

Hjälpte det här svaret? Ja Nej

Send feedback
Synd att vi inte kunde vara till hjälp. Hjälp oss förbättra denna artikel med din feedback.