Skip to content

Log4j-haavoittuvuus

22.12.2021

In English below

Log4j-haavoittuvuus on viime päivinä saanut paljon mediahuomiota. Haavoittuvuus on erityisen vakava, koska se kohdistuu laajasti käytettyyn ohjelmistokomponenttiin ja on triviaalisti hyväksikäytettävissä. Saatuamme tiedon haavoittuvuudesta, kävimme välittömästi omat ohjelmistomme läpi varmistaaksemme, ettei haavoittuvia komponentteja ole käytetty. Lupapiste palvelussa haavoittuva komponentti ei ole käytössä eikä asiakasdata ole ollut vaarassa. Palvelua tukevasta infran osasta löytyi haavoittuva komponentti ja päivitimme sen kyberturvallisuuskeskuksen suosittelemaan versioon log4j-2.16.0. Varmistimme lokitiedostoista, että haavoittuvuutta ei ole käytetty hyväksi. Seuraamme tilanteen kehittymistä.

Lisätietoja haavoittuvuudesta yleisesti:
https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_38/2021


The Log4j vulnerability has received a lot of media attention in recent days. The vulnerability is very severe since it targets a widely used software component and is trivially exploited. As soon as we received information about the vulnerability, we immediately revised our Lupapiste-service and made the necessary updates. A vulnerable component was found in the infrastructure supporting the service and we updated it to the version recommended by the Cybersecurity Centre, log4j-2.16.0. We verified from the log files that the vulnerability had not been exploited. We are closely monitoring the situation as it develops.

For more information about the vulnerability in general:
https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_38/2021