Sikkerheten i Moment er høy - kritisk sårbarhet i Apache Log4j
Innlegget er oppdatert 20. desember
I Moment jobber vi daglig med å sikre god data-sikkerhet for våre kunder og deres data.
Fredag 10. desember publiserte Nasjonal Sikkerhetsmyndighet et varsel om en kritisk sårbarhet i Apache Log4j.
Dette er et Java-basert verktøy som brukes omfattende i applikasjoner globalt, deriblant i vårt system.
Les mer om dette her.
Vi iverksatte straks grep for å sikre vårt system mot denne sårbarheten. Under ett døgn senere var Moment oppdatert til å bruke en trygg versjon av Log4j (v2.15.0) på samtlige steder hvor dette verktøyet er brukt.
Det ble samtidig funnet svakheter i verktøy som brukes av oss internt for drift og vedlikehold. Følgende verktøy ble oppdatert fortløpende når sikre versjoner ble gjort tilgjengelig:
Les mer om dette her.
Vi iverksatte straks grep for å sikre vårt system mot denne sårbarheten. Under ett døgn senere var Moment oppdatert til å bruke en trygg versjon av Log4j (v2.15.0) på samtlige steder hvor dette verktøyet er brukt.
Det ble samtidig funnet svakheter i verktøy som brukes av oss internt for drift og vedlikehold. Følgende verktøy ble oppdatert fortløpende når sikre versjoner ble gjort tilgjengelig:
- Elastic Search
- Graylog
- Amazon Open Search
- Datadog
Onsdag denne uken gjorde vi en ny oppgradering (v2.16.0) som dekker enda et sikkerhetshull som ble funnet i i Log4j dagen før. Les mer om den her.
Mandag den 20. desember ble nok en oppgradering gjort (v.2.17.0) for å dekke en ny DOS svakhet funnet i Apache Log4j koden (v2.16.0). Les mer her.
Vi tar data-sikkerhet på fullt alvor, og har egne dedikerte ressurser som følger dette fortløpende.
Har du spørsmål til vår sikkerhet er du velkommen til å kontakte Karl Martin Sonley på karl@moment.team
Vi tar data-sikkerhet på fullt alvor, og har egne dedikerte ressurser som følger dette fortløpende.
Har du spørsmål til vår sikkerhet er du velkommen til å kontakte Karl Martin Sonley på karl@moment.team