För tydlighetens skull: Storegates tjänster påverkas inte av sårbarheten Log4Shell i Log4j. För att drabbas måste man ha en programvara som använder detta loggningsramverk och det har inte Storegate.
Log4Shell-problemet
Log4j är ett Java-loggningsramverk för att logga data i Java-plattformen. Loggningsramverk underlättar och standardiserar loggningsprocessen när man utvecklar i Java-plattformen. I synnerhet ger det flexibilitet genom att undvika speciell utdata till konsolen, då loggarna som skrivs blir oberoende av koden och kan anpassas under körning.
Tyvärr inkluderade inte Java-plattformen loggning i sin ursprungliga release, så när Java Logging API lades till hade man redan börjat använda flera andra loggningsramverk som till exempel Apache Commons Logging och Log4j. Detta ledde till problem när man integrerade olika tredjepartsbibliotek som var och en hade olika loggningsramverk. När man nu upptäckte sårbarheten Log4Shell i Log4j är det svårt att hitta var i koden den finns. Förenklat kan man säga att de program som innehåller detta ramverk kan man ”hacka sig in i”.
Vad gäller användandet av våra tjänster behöver du inte på något sätt vara orolig då vi inte använder Java-plattformen för våra tjänster. Självklart är inte Log4Shell-problemet det enda hot som finns och vi PEN-testar våra tjänster kontinuerligt för att hitta eventuella andra sårbarheter.
Har du fler frågor kring ämnet är du välkommen att kontakta Storegate Support.