Log4j-komponentin haavoittuvuus on aktiivisen hyväksikäytön kohteena - päivitä välittömästi!

Varoitus5/2021

Internetpalveluissa erittäin laajasti käytetyn, haavoittuvan Log4j-komponentin hyväksikäyttötapauksia havaitaan jatkuvasti lisää. Ylläpitäjiltä vaaditaan nopeaa reagointia.

Haavoittuvuuden levinneisyys on selvinnyt viikonlopun aikana paremmin. Haavoittuvaa Log4j-komponenttia on käytössä todella laajasti suosituissa sovelluksissa. Hyväksikäyttöyritysten määrä on kasvanut räjähdysmäisesti ja haavoittuvia palveluita havaitaan jatkuvasti lisää. Listaa haavoittuvista sovelluksista ylläpidetään Github-palvelussa, joka on ohjelmistokoodin jakamiseen tarkoitettu alusta. Tietojemme mukaan haavoittuvuutta pyritään käyttämään aktiviisesti hyväksi myös kotimaisissa organisaatioissa. 

Päivittäminen vie aikaa. Sovelluskehittäjät julkaisevat päivityksiä tuotteisiinsa, mutta niiden läpimeno ei tapahdu hetkessä. Haavoittuvan komponentin löytäminen voi olla haastavaa ja päivitystä pitää myös testata ennen sen käyttöönottoa.

Julkisten tietojen perusteella haavoittuvuus on koskenut isoa osaa internetin palveluita. Tarkennamme haavoittuvuustiedotettamme (Ulkoinen linkki), kun lisätietoja haavoittuvista sovelluksista julkaistaan. Olemme lisänneet tiedotteeseen myös ohjeita haavoittuvuuden löytämiseksi, testaamiseksi ja vaikutusten rajaamiseksi.

On erittäin suositeltavaa päivittää Apache Log4j mahdollisimman pian 17.12.2021 julkaistuun versioon log4j-2.17.0. Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan niitä odotetaan ylläpitäjiltä.

Varoituksen kohderyhmä

Suosittelemme organisaatioita selvittämään, onko niillä Log4j-komponenttia käyttäviä palveluita käytössään.

Ratkaisu- ja rajoitusmahdollisuudet

Apachen Log4j-komponentin kriittistä haavoittuvuutta käytetään aktiivisesti hyväksi. Apache on julkaissut uusimman päivityksen haavoittuvuuteen 17.12.2021 versionumerolla log4j-2.17.0. Ylläpitäjien tulisi asentaa päivitys viipymättä.

Kyberturvallisuuskeskuksen tämänhetkisen tiedon mukaan Log4shell-haavoittuvuus ei koske Log4j versioita 1.X.

Lisätietoa

Päivityshistoria

Korjattu Apachen sivustolle vievä linkki

Lisätty maininta ettei haavoittuvuus koske Log4j versioita 1.X.

Varoitus nostettu keltaisesta punaiseksi. Ingressiä päivitetty ja lisätty tekstiin uutta tietoa haavoittuvuuden laajuudesta.

Korjattu uusin suositeltava päivitysversio -> log4j-2.16.0.

Korjattu uusin suositeltava päivitysversio -> log4j-2.17.0

Varoituksen voimassaolo päättyi 9.2.2022. Varoituksen tila muutettu passiiviseksi (harmaa varoitussymboli)