Spoštovani skrbniki in uporabniki sistema KADRIS 4.7!
Obveščamo vas, da je bila v programski knjižnici Java logging library Log4j odkrita kritična ranljivost z oznako CVE-2021-44228, ki napadalcem omogoča izvajanje poljubne kode na sistemu (RCE – remote code execution) ali krajo občutljivih informacij. Do zlorabe ranljivosti pride ob vnosu zlonamerne povezave namesto vnosa podatka v sistem, če se ta podatek brez kontrol ali sprememb zapiše (logira) z omenjeno knjižnico. Razglašeno je tudi stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov s strani Urada Vlade Republike Slovenije za informacijsko varnost (URSIV): https://www.gov.si/novice/2021-12-14-razglaseno-stanje-povecane-ogrozenosti-varnosti-omrezij-in-informacijskih-sistemov/.
Skrbnike in uporabnike sistema KADRIS 4.7, ki pri svojem delu uporabljate programsko knjižnico Java logging library Log4j obveščamo, da naš sistem KADRIS 4.7 za omenjeno zlorabo ni ranljiv, ker:
- je logiranje z Java knjižnico Log4j v standardni postavitvi izklopljeno,
- je večina sistemov dostopna le iz intraneta in je uporabnik znan,
- se v login oknu ne logira uporabniškega imena in gesla,
- je bil vklop Java knjižnice Log4j izveden le za modul Syslog, ki nima javno dostopnega uporabniškega vmesnika.
Pri implementaciji sistema KADRIS 4.7 uporabljamo določene komponente in postopke, ki bi lahko vsebovali omenjeno ranljivost.
Seznam uporabljenih komponent:
- Java del sistema KADRIS 4.7 – privzeta prijava (logiranje) v tem delu je izklopljeno. Pri strankah, kjer je prijava s to knjižnico vklopljena, bomo nastavili parameter Dlog4j2.formatMsgNoLookups=true, ki reši težavo s kritično ranljivostjo v knjižnici.
- Oracle REST Data Services - je razvit v Javi, a ne uporablja te knjižnice. Več informacij: https://blogs.oracle.com/security/post/cve-2021-44228.
- Internetni strežnik Apache - ni razvit v Javi in posledično ne uporablja te knjižnice.
- Aplikacijski strežnik WildFly - za prijavo (logiranje) napak uporablja to knjižnico v verziji brez omenjene ranljivosti. Uradni odgovor proizvajalca se nahaja na povezavi: https://twitter.com/WildFlyAS/status/1469362190536818688.
- Aplikacijski strežnik Tomcat - za svoje delovanje ne uporablja omenjene knjižnice in zato ni podvržen opisani kritični ranljivosti. Uradni odgovor proizvajalca se nahaja na povezavi: https://www.tomitribe.com/blog/cve-2021-44228-log4shell-vulnerability/.
- Aplikacijski strežnik WebLogic - Oracle v svoji dokumentaciji navaja, da aplikacijski strežnik WebLogic ni občutljiv na kritično ranljivost te knjižnice. Več informacij: https://blogs.oracle.com/security/post/cve-2021-44228.
- Podatkovni strežnik Oracle - nekaterim baznim strežnikom Oracle je ta knjižnica priložena, ampak Oracle navaja, da njihovi podatkovni strežniki niso občutljivi na omenjeno kritično ranljivost. Več informacij: https://blogs.oracle.com/security/post/cve-2021-44228 ali na njihovi intranet strani: https://login.oracle.com/mysso/signon.jsp (na voljo samo za registrirane uporabnike).
Uporabnike sistema KADRIS 4.7 z vklopljeno uporabo Java knjižnice Log4j že proaktivno obveščamo in z nastavitvami na aplikacijskem strežniku povečujemo varnost sistema KADRIS 4.7.
Sistem KADRIS 4.7 v verziji 4761 NF13, ki bo izdana predvidoma 15.12.2021, ne bo več vsebovala Java knjižnice Log4j2 z omenjeno ranljivostjo.
Za več ali dodatne informacije nas kontaktirajte na: podpora@cetrtapot.si ali 04 280 66 22.