En nolldagarssårbarhet som påverkar version 2.0< = 2.14.1 av Apache Log4j 2-paketet avslöjades för allmänheten den 9 december. (Se CVE för mer information.)
Apache släppte en ny Log4j-version för att åtgärda sårbarheten. Versioner av det här biblioteket tidigare än 2.15.0 är sårbara för en fjärrkörningsattack. För mer information om sårbarheten, se CVE.
Vi undersökte vår Cloud SaaS-plattform och bekräftade användningen av påverkade log4j-bibliotek både i vår egen kod och i beroendetjänster. Vi kan bekräfta att sårbarheten inte kunde utnyttjas baserat på olika begränsningar som redan finns i miljön.
På mindre än 6 timmar efter att vi blev medvetna om denna sårbarhet införlivade vi det fasta biblioteket i vår egen kod (planerad att släppas) och vi har tillämpat begränsningarna från Mitre.org.
Vi har också justerat detektionsreglerna för vår WAF och vi övervakar ständigt efter mönster av övergrepp.
På lördagsmorgonen hade vi släppt korrigeringar för vår On-Premise-version av OneDesk och började nå ut till våra On-Premise-kunder med skräddarsydda steg för att mildra dem i deras egna miljöer.