En null-dagers sårbarhet som påvirker versjon 2.0< = 2.14.1 av Apache Log4j 2-pakken ble offentliggjort 9. desember. (Vennligst se CVE for flere detaljer.)
Apache ga ut en ny Log4j-versjon for å fikse sårbarheten. Versjoner av dette biblioteket tidligere enn 2.15.0 er sårbare for et eksternt kodeutførelsesangrep. For mer informasjon om sårbarheten, se CVE.
Vi undersøkte vår Cloud SaaS-plattform og bekreftet bruken av berørte log4j-biblioteker både i vår egen kode og i avhengige tjenester. Vi kan bekrefte at sårbarheten ikke kunne utnyttes basert på ulike avbøtende tiltak som allerede er tilstede i miljøet.
På mindre enn 6 timer etter at vi ble klar over dette sikkerhetsproblemet, inkorporerte vi det faste biblioteket i vår egen kode (planlagt å bli utgitt), og vi har tatt i bruk reduksjonene fra Mitre.org.
Vi har også justert gjenkjenningsreglene for vår WAF og vi overvåker kontinuerlig for misbruksmønstre.
Lørdag morgen hadde vi gitt ut rettelser for vår lokale versjon av OneDesk og begynte å nå ut til våre lokale kunder med skreddersydde tiltak for å redusere i deres egne miljøer.