Karl Martin Sonley 15.des.2021 08:48:10 2 min lesetid

Kritisk sårbarhet i Apache Log4j

Sikkerheten i Moment er høy - kritisk sårbarhet i Apache Log4j


Innlegget er oppdatert 20. desember

I Moment jobber vi daglig med å sikre god data-sikkerhet for våre kunder og deres data.

Fredag 10. desember publiserte Nasjonal Sikkerhetsmyndighet et varsel om en kritisk sårbarhet i Apache Log4j.

Dette er et Java-basert verktøy som brukes omfattende i applikasjoner globalt, deriblant i vårt system.
Les mer om dette her.

Vi iverksatte straks grep for å sikre vårt system mot denne sårbarheten. Under ett døgn senere var Moment oppdatert til å bruke en trygg versjon av Log4j (v2.15.0) på samtlige steder hvor dette verktøyet er brukt.

Det ble samtidig funnet svakheter i verktøy som brukes av oss internt for drift og vedlikehold. Følgende verktøy ble oppdatert fortløpende når sikre versjoner ble gjort tilgjengelig:
  • Elastic Search
  • Graylog
  • Amazon Open Search
  • Datadog

Onsdag denne uken gjorde vi en ny oppgradering (v2.16.0) som dekker enda et sikkerhetshull som ble funnet i i Log4j dagen før. Les mer om den her.
 
Mandag den 20. desember ble nok en oppgradering gjort (v.2.17.0) for å dekke en ny DOS svakhet funnet i Apache Log4j koden (v2.16.0). Les mer her. 

Vi tar data-sikkerhet på fullt alvor, og har egne dedikerte ressurser som følger dette fortløpende.

Har du spørsmål til vår sikkerhet er du velkommen til å kontakte Karl Martin Sonley på karl@moment.team