Krav til amerikanske myndigheder: Ny Log4Shell-patch skal være installeret inden jul
Endnu en patch til Log4j – 2.17.0 – er ude, efter den seneste ikke lykkedes med at lappe CVE-2021-45105. Apache Software Foundation, der står bag Log4j-softwaren, beskriver sårbarheden således:
»Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups. When the logging configuration uses a non-default Pattern Layout with a Context Lookup (for example, $${ctx:loginId}), attackers with control over Thread Context Map input data can craft malicious input data that contains a recursive lookup, resulting in a StackOverflowError that will terminate the process.«
Patch'en er udgivet samtidig med, at det amerikanske cybersikkerhedsagentur CISA kræver, at alle føderale myndigheder implementerer den seneste patch inden 23. december 2021.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
