Kritisk sårbarhet i Log4j – påverkar den dig?

Du har säkert läst om att en kritisk sårbarhet upptäckts nyligen i Apache/Java-biblioteket Log4j och som nu utnyttjas av hackers över hela världen. Log4j har fått stor uppmärksamhet i media på grund av det stora antalet berörda produkter och att sårbarheten är lätt att utnyttja.

Biblioteket Log4j används till loggning och finns i många produkter och applikationer och installeras normalt tillsammans med dessa. Det är därför inte alltid tydligt att biblioteket Log4j används. Log4j sårbarheten möjliggör att angripare kan exekvera egen kod på en server, så kallad Remote Code Execution (RCE) och därmed få full kontroll över systemet

Påverkar Log4j vårt affärssystem och andra system vi använder?

Här en sammanställning från de programvaru- och tjänsteleverantörer vi på Systemstöd arbetar med i samband med implementering och förvaltning av affärssystem och verksamhetssystem.

Nedan information om hur deras system förhåller sig till den kritiska sårbarheten Log4j i Apache/Java-biblioteket:

Jeeves ERP

Jeeves Information Systems har analyserat vilka Jeeves utvecklade applikationer som påverkas av Log4j. Denna analys visar att det bara är Jeeves eSales som använder funktionen Log4j bundlat via Jeeves eSales. Mer information på Jeeves Support portal här >

Sage X3

I Sage X3 är det bara komponenten Elasticsearch som påverkas. Sage X3 version 9 eller tidigare påverkas inte. Sage har tagit fram en säkerhetsfix samt nya releaser av Elasticsearch finns tillgänliga. Samtliga svenska Sage X3 kunder som förvaltas av Systemstöd är uppdaterade.  

Visma.net

Visma.net använder inte Log4j och påverkas inte av säkerhetshotet. Vissa andra Visma applikationer berörs dock av säkerhetshotet. Alla dessa berörda tjänster har uppdaterats. Ingen kunddata har påverkats av sårbarheten. 

Standard ERP (HansaWorld)

Använder inte Log4j och påverkas inte av säkerhetshotet.

Systemstöds egenutvecklade komponenter

Vår webbplattform baserad på Orchard CMS som används i våra webblösningar för e-handel, serviceorderrapportering, tidrapportering, CRM mm använder ej Log4j.

Palette

Med hänvisning till de senaste rapporterna om sårbarhet i Log4j (CVE-2021-44228), har Palette ingen funktionalitet som använder biblioteket Log4j som påverkas av denna sårbarhet.

Inobiz integrationsplattform

Påverkas inte av säkerhetshotet.

Centsoft Invoice

Deras molnlösning av Centsoft Invoice är patchad och klar för att hantera säkerhetshotet.
För lokala installationer av Centsoft Invoice – läs dokument med information här >

Andra applikationer – programvaror

Kontakta de programvaruleverantörer du använder för att se om de påverkas av sårbarheten Log4j och hur den i varje enskilt fall ska hanteras. Detta då vissa applikationer kan behöva uppgraderas och i andra applikationer kan det räcka med en mindre patch eller säkerhetsinställning. 

Länkar med mer information om Log4j 

Microsoft

https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/ 

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

Apache

https://logging.apache.org/log4j/2.x/ 

https://logging.apache.org/log4j/2.x/security.html

Truesec

https://www.truesec.com/hub/blog/apache-log4j-injection-vulnerability-cve-2021-44228- impact-and-response

   Fredrik Jansson, fredrik.jansson@systemstod.se

Läs mer på Systemstödsbloggen

Framtidens ekonomiavdelning
Vad kan artificiell intelligens göra i ditt företag
Påverkas du av Coud Act och Schrems II