Är faran över med Log4J och Log4shell?

I går kom nya uppgifter om att * VMware Horizon server version 7.x och 8.x kan ha drabbats av säkerhetshålet i Log4j. Så än är inte faran över.

Säkerhetshålet, som går under namnet Log4shell, upptäcktes i slutet på förra året. Det är en sårbarhet i Java-modulen Apache Log4j, som är en av de mest populära Java-loggningsbiblioteken och används av ett stort antal företag över hela världen vilket möjliggör inloggning i en mängd populära internettjänster och applikationer såsom Amazon, Twitter, Microsoft, Minecraft för att nämna några.

Genom att utnyttja sårbarheten kan hackare kontrollera Java-baserade webbservrar och starta attacker med fjärrkörning av kod.

Så till frågan, använder vi på Farsight, Log4j, för Provide Server?

Svaret på den frågan är nej, vi har valt att använda så få externa beroenden som möjligt för att ha full kontroll på hela kedjan. I de fall vi använder oss av externa komponenter kräver vi att vi har full access till källkod.

Vi har undervisat i hur man hackar sig in i system; därför vet vi hur man skyddar sig.Vi använder communityn och lyssnar på white-hackers för att stärka vår programvara löpande. Vi har tusentals testfall som alltid gås igenom innan varje release. Så med våra produkter och system kan du känna dig trygg.

Vill du veta mer om hur vi på Farsight jobbar med säkerhet i våra projekt och uppdrag är du varmt välkommen att höra av dig till carina.sjovill@farsight.se

*https://blog.morphisec.com/log4j-exploit-hits-again-vulnerable-vmware-horizon-servers-at-risk