En nul-dages sårbarhed, der påvirker version 2.0< = 2.14.1 af Apache Log4j 2-pakken blev offentliggjort den 9. december. (Se venligst CVE for flere detaljer.)
Apache udgav en ny Log4j-version for at rette op på sårbarheden. Versioner af dette bibliotek tidligere end 2.15.0 er sårbare over for et fjernudførelsesangreb. For flere detaljer om sårbarheden henvises til CVE.
Vi undersøgte vores Cloud SaaS-platform og bekræftede brugen af berørte log4j-biblioteker både i vores egen kode og i afhængige tjenester. Vi kan bekræfte, at sårbarheden ikke kunne udnyttes baseret på forskellige afbødninger, der allerede var til stede i miljøet.
På mindre end 6 timer efter, at vi blev opmærksomme på denne sårbarhed, inkorporerede vi det faste bibliotek i vores egen kode (planlagt til at blive frigivet), og vi har anvendt live-begrænsningerne fra Mitre.org
Vi har også justeret registreringsreglerne for vores WAF, og vi overvåger konstant for misbrugsmønstre.
Lørdag morgen havde vi frigivet rettelser til vores On-Premise-version af OneDesk og begyndte at nå ud til vores On-Premise-kunder med skræddersyede trin til afbødning i deres egne miljøer.