Spoštovani skrbniki in uporabniki sistema KADRIS 4.7!

Obveščamo vas, da je bila v programski knjižnici Java logging library Log4j odkrita kritična ranljivost z oznako CVE-2021-44228, ki napadalcem omogoča izvajanje poljubne kode na sistemu (RCE – remote code execution) ali krajo občutljivih informacij. Do zlorabe ranljivosti pride ob vnosu zlonamerne povezave namesto vnosa podatka v sistem, če se ta podatek brez kontrol ali sprememb zapiše (logira) z omenjeno knjižnico. Razglašeno je tudi stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov s strani Urada Vlade Republike Slovenije za informacijsko varnost (URSIV): https://www.gov.si/novice/2021-12-14-razglaseno-stanje-povecane-ogrozenosti-varnosti-omrezij-in-informacijskih-sistemov/.

Skrbnike in uporabnike sistema KADRIS 4.7, ki pri svojem delu uporabljate programsko knjižnico Java logging library Log4j obveščamo, da naš sistem KADRIS 4.7 za omenjeno zlorabo ni ranljiv, ker:

  • je logiranje z Java knjižnico Log4j v standardni postavitvi izklopljeno,
  • je večina sistemov dostopna le iz intraneta in je uporabnik znan,
  • se v login oknu ne logira uporabniškega imena in gesla,
  • je bil vklop Java knjižnice Log4j izveden le za modul Syslog, ki nima javno dostopnega uporabniškega vmesnika.

Pri implementaciji sistema KADRIS 4.7 uporabljamo določene komponente in postopke, ki bi lahko vsebovali omenjeno ranljivost.

Seznam uporabljenih komponent:

Uporabnike sistema KADRIS 4.7 z vklopljeno uporabo Java knjižnice Log4j že proaktivno obveščamo in z nastavitvami na aplikacijskem strežniku povečujemo varnost sistema KADRIS 4.7.

Sistem KADRIS 4.7 v verziji 4761 NF13, ki bo izdana predvidoma 15.12.2021, ne bo več vsebovala Java knjižnice Log4j2 z omenjeno ranljivostjo.

Za več ali dodatne informacije nas kontaktirajte na: podpora@cetrtapot.si ali 04 280 66 22.

Kontaktirajte nas
Stopite v stik z nami
Pišite nam za predstavitev ali vprašanja.
Pokličite nas ali pošljite e-pošto.