Det amerikanske svar på Center for Cybersikkerhed har udgivet en guide til håndtering af sårbarheden i Apache tredjepartsproduktet Log4j, der før jul fik aktører til at advare om massiv risiko for udnyttelse verden over. Seneste opdatering på guiden er fra den 28. december, hvor organisationer atter opfordres til at opgradere til henholdsvis Log4j 2.17.1 (Java 8), 2.12.4 (Java 7) og 2.3.2 (Java 6). Endvidere opfordres organisationerne til at gennemgå Apache Log4j Security sårbarhedshjemmeside for opdateringer og vejledninger til mitigering af risikoen for udnyttelse.
Apache Foundation har udgivet en ny version af log4j. Det fremgår af en opdatering på https://logging.apache.org/, der blev udsendt mandag den 13. december sidst på dagen centraleuropæisk tid. Dermed har Apache rykket hurtigt med en ny version, efter at version 2.15.0 blev udsendt i sidste uge som en reaktion på sårbarheden i version 2.14.1.
DKCERT anbefaler systemadministratorer at orientere sig i meddelelsen fra Apache og vurdere relevansen af opdateringen i forhold til eget systemsetup.
Der er fundet en fejl i et softwareelement kaldet log4j fra Apache, der anvendes i en lang række produkter og services. Der er rapporter om, at fejlen forsøges udnyttes verden over, hvilket kan påvirke cybersikkerheden hos både professionelle og private brugere. Fejlen kan udnyttes af cyberkriminelle til at overtage en computer. Fejlen påvirker i primært grad servere, som kører de pågældende softwareprodukter.
På Github er der publiceret en liste over de softwareprodukter, der anvender log4j, og som kan være sårbare.
Apache har udsendt en patch til håndtering af Log4shell-sårbarheden. Patchet er i første omgang henvendt til producenter af enheder og softwareprodukter, der anvender log4j. Det betyder, at producenter af de pågældende produkter skal sikkerhedsopdatere og derefter udsende patches, som forbrugerne skal installere.
En lang række medier skriver her i weekenden om en alvorlig sårbarhed, der er fundet i Apache log4j, version 2.0 til 2.14.1, og som pt. udnyttes verden over til angreb på stort set alle enheder, der anvender produktet.
Apache Software Foundation har udsendt version 2.4.51 af HTTP-webserveren, efter at researchere har opdaget, at en tidligere udsendt sikkerhedsopdatering ikke korrekt fixede en aktivt udnyttet sårbarhed. Det skriver Bleeping Computer.
Apache HTTP Server er en open-source, cross-platform webserver, der driver cirka 25% af websteder verden over.
Apache Software Foundation har udsendt version 2.4.50 af HTTP-webserveren for at imødegå to sårbarheder, hvoraf den ene aktivt udnyttes i øjeblikket. Det skriver Bleeping Computer.
Apache HTTP-serveren er en open-source, platformsuafhængig webserver, der som navnet antyder kan operere på flere forskellige platforme. Ifølge Bleeping Computer er webserveren ’alsidig, robust gratis og ekstremt populær’, hvorfor sårbarheder her kan have vidtrækkende konsekvenser.
