Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, mutta palveluiden ylläpitäjiltä vaaditaan kybeturvallisuuskeskuksen mukaan nopeaa reagointia.

Liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskus varoittaa internetpalveluissa erittäin laajasti käytetyn Apachen Log4j-komponentin haavoittuvuuden olevan aktiivisen hyväksikäytön kohteena. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa etänä mielivaltaisia komentoja sovelluspalvelimelle. Traficomin mukaan hyväksikäyttötapauksia havaitaan jatkuvasti lisää ja ylläpitäjien on reagoitava tilanteeseen nopeasti.

Traficomin mukaan Log4j-komponentti on käytössä todella laajasti suosituissa sovelluksissa ja sen haavoittuvuuden hyväksikäyttömäärät ovat kasvaneet räjähdysmäisesti. Listaa haavoittuvista sovelluksista ylläpidetään viraston mukaan Github-palvelussa ja Kyberturvallisuuskeskuksen tietojen mukaan haavoittuvuus on koskenut isoa osaa internetin palveluista ja sitä pyritään käyttämään aktiivisesti myös kotimaisissa organisaatioissa.

Traficom suosittelee päivittämään Log4j:n 9.12.2021 julkaistuun versioon log4j-2.15.0., joka on Apachen viimeisin päivitys, joka myös korjaa kyseessä olevan haavoittuvuuden.  Kyberturvallisuuskeskuksen tämänhetkisen tiedon mukaan Log4shell-haavoittuvuus ei koske Log4j:n versioita 1.X.

Traficom ohjeistaa palveluiden ylläpitäjiä selvittämään, missä kaikkialla Log4j on käytössä ja päivittämään nämä edellä mainittuun versioon. Tyypillisesti tieto komponentin käytöstä löytyy Java-sovellusten pom.xml-tiedostoista. Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan korjaus on tehtävä palvelun ylläpitäjillä.

Päivitys 16.12.2021: Myös haavoittuvuuden korjaavasta Log4j-2.15.0-versiosta on löydetty haavoittuvuuksia. Apache on jo julkaissut uuden Log4j-2.16.0-version, joka korjaa nuo uudetkin haavoittuvuudet. Kyberturvallisuuskeskus on päivittänyt omaan alkuperäiseen ohjeistukseensa oikean uuden versionumeron.

Lähde: Traficom, ArsTechnica

This site uses XenWord.