Det har nyligen uppdagats en sårbarhet i java-komponenten Log4j som påverkar många system globalt. På Sokigo har vi genomlyst alla våra produkter, kund- och interna miljöer för att säkerställa full säkerhet och varaktig drift.

Vilka versioner/komponenter av CSM påverkas av sårbarheten?

I CSM är det endast WebSSM som använder en version av Log4j som är påverkad. WebSSM är en ny funktion från och med CSM 4.3. Äldre versioner av CSM och alla övriga delar av CSM använder versioner av Log4j som inte har sårbarheten.

Är jag som kund utsatt för risk just nu?

WebSSM utvecklas av vår underleverantör Sweco i Danmark och de har efter intensiva tester kommit fram till att sårbarheten i Log4j inte kan utnyttjas i WebSSM. Detta bland annat på grund av att den version av Java-runtime som används inte tillåter det anrop som säkerhetshålet bygger på. Dessutom är WebSSM endast tillgänglig på intern site.

Deras samlade bedömning är att det inte förekommer någon risk på CSM-siter.

Vad händer härnäst?

I CSM 4.4, som lanseras i vår, kommer den berörda java-komponenten vara uppdaterad.

Kan jag deaktivera WebSSM för säkerhets skull?

Ja, det kan du göra i Tomcats server.xml.

Vid frågor kring detta, kontakta gärna:

Sokigos kundservice via e-post kundservice@sokigo.com. Den närmaste tiden kommer vi göra vårt bästa för att svara extra snabbt på alla frågor kring detta.

För dig som vill läsa mer:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://www.cert.se/2021/12/kritisk-sarbarhet-i-apache-log4j
https://www.truesec.com/hub/blog/apache-log4j-injection-vulnerability-cve-2021-44228-impact-and-response
https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/