Kyberturvakeskus julkaissut 10.12.2021 varoituksen haavoittuvuuden Apache Log4j -komponentissa olevasta haavoittuvuudesta. Log4j-komponenttia käytetään erittäin laajasti palvelujen ohjelmistokehityksessä tuottamaan palvelun lokitietoja. Komponentissa oleva haavoittuvuus mahdollistaa etäpääsyn palveluihin.
Varoituksen julkistamisen jälkeen on käynyt ilmi, että haavoittuvuudella on hyvin laajat vaikutukset. Haavoittuvuutta pidetäänkin nyt yhtenä merkittävimmistä viime vuosien tietoturvahaavoittuvuuksista.
Tietotekniikkapalvelut on yhdessä järjestelmätoimittajien kanssa selvittänyt palveluita, joihin tämä uhka liittyy tai voi liittyä. Palveluihin on tehty kartoitusten perusteella päivityksiä ja korjauksia haavoittuvuuden hyväksikäytön estämiseksi. Lisäksi tietoturvan valvontaa on tehostettu.
Kaikki ohjelmistotoimittajat eivät vielä ole ehtineet testata tuotteidensa haavoittuvuutta tai tuottaa korjauksia havaittuihin haavoittuvuuksiin. Jatkamme haavoittuvuuteen liittyvää seurantaa ja tarvittavia toimenpiteitä.
Tietotekniikkapalveluiden keskitettyjen IT-palvelujen lisäksi on syytä tarkistaa eri yhteistyöhankkeissa ja projekteissa syntyneet ohjelmistot. Niiden tietoturvallisuuden varmistamiseksi pyydämme tarvittaessa olemaan yhteydessä Tietotekniikkapalveluihin (abuse@uef.fi).
Lisää tietoa haavoittuvuudesta Kyberturvakeskuksen sivuilta.