Vi har under de senaste dagarna fått många förfrågningar kring en kritisk sårbarhet i en programvara, Log4j, som riktar sig mot servrar som arbetar med Apache och Java.

 

De produkter som Eventful själva utvecklar bygger inte på Java, och nyttjar inte tjänsten Log4j.


När det gäller för Eventful angränsande tjänster, dvs en tjänst som Eventful sköter driften av för kunders räkning, eller på annat sätt säljer, så känner vi inte till någon tjänst som beräftats vara sårbar. Detta kan komma att ändras vartefter ytterligare sårbarheter upptäcks eller leverantörer utkommer med ny information.


Nedan hittar ni detaljerad information kring de olika 


CVE-2021-44228, CVE-2021-450

Dessa sårbarheter påverkar version 2 av Log4J.

Vi har idag ingen produkt som vi arbetar med som är drabbad av dessa sårbarheter.


CVE-2021-4104

Denna sårbarhet påverkar version 1.2 av Log4J vid vissa speciella konfigurationer.


GCDS Google Cloud Directory Sync 

Tjänsten Google Cloud Directory Sync använder Log4J 1.2 Vi har kontaktat Google Support och fått beskedet att GCDS inte är drabbat av sårbarheten CVE-2021-4104.
Vi har även bett Google ta med GCDS på sin samlingssida för Log4j2-information eller på annat sätt förmedla information som inkluderar GCDS publikt, men har inte fått ett tillfredställande svar.


För att underlätta er riskbedömning så kan följande vara bra att ha i åtanke:

  • GCDS körs inte som en tjänst som anropas av användare eller tjänster. Det är en program som kör en synkronisering där den läser från Active Directory och skriver till Google Cloud.
  • GCDS får sin indata från Active Directory. För att en av dessa sårbarheter skall kunna nyttjas måste attribut i AD innehålla nyttjandekod.
  • Nyttjandekoden måste sparas till AD via något system, och bör endast vara åtkomligt från någon med Admin-rättigheter, beroende på vilka synkar i övrigt ni har från olika leverantörer.
  • Nyttjandekoden måste finnas på attribut i AD som loggas av GCDS, vilket är kraftigt begränsade i antal.