Fyritøkur og stovnar í Føroyum í vanda - Sjálvvirkandi álop móti Log4j í løtuni

11. desember. 2021

Log4Shell

Trygdarveikleikin í Log4j, sum vit skrivaðu um í gjár (sí skrivið her) hevur nú fingið heitið "Log4Shell".

Síðani í gjár, eru sjálvvirkandi álop í hópatali farin í gongd móti servarum, sum eru raktir av Log4Shell. Álopini verða millum annað brúkt til, at leggja sokallaðar "webshells" inn á servararnar. Hetta merkir, at um teldusníkarnir eydnast við at leggja hesa webshell inn á servaran, so hava teir fulla atgongd til servaran, og kunnu gera so at siga hvat sum helst á servaranum.

 

Hvat er Log4Shell

Abhay Bhargav frá KT-trygdarfyritøkuni "We45" hevur skrivað ein tráð á Twitter, har hann í stuttum sigur frá, hvat Log4Shell er, og hvussu tað verður nýtt til álop.

Les Twitter tráðin við at trýsta her.

 

Ein tann álvarsamasti trygdarveikleikin í longri tíð

Tað kann ikki sigast nóg týðiliga, hvussu álvarsligt Log4Shell er. Log4j er eitt tað mest nýtta amboðið til logning av hendingum á servarum og forritum. Tað hevur eisini víst seg, at tað er ógvuliga lætt hjá teldusníkum at útnytta hendan veikleikan.

Longu nú hava kanningar víst, at fleiri fyritøkur og stovnar í Føroyum nýta sárbarar útgávur av Log4j og eru tískil í vanda fyri at blíva offur fyri álopum móti teirra servarum.

Allar fyritøkur og stovnar eiga skjótast gjørligt at kanna, um tey nýta Log4j, og um so er, tryggja sær, at nýggjasta dagføringin er løgd inn.

Haraftrat verður viðmælt at kanna loggar á servaranum fyri at tryggja sær, at servarin ikki longu er blivin álopin.

 

Amboð til at kanna loggar á servaranum

KT-trygdarserfrøðingurin Florian Roth hevur givið út eitt amboð, sum kann nýtast til at kanna loggar á servarum, sum nýta Log4j.

Amboðið kann heintast her: log4shell-detector