Log4j-komponentin haavoittuvuus


16. joulukuuta 2021

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus julkaisi 10.12.2021 varoituksen Log4j-komponentin haavoittuvuudesta. Apache Log4j on Java-pohjainen komponentti, jota käytetään laajasti erilaisissa palveluissa ja sovelluksissa. Haavoittuvuuden on havaittu olevan aktiivisen hyväksikäytön kohteena internetiin yhteydessä olevissa laitteissa ja sovelluksissa. Tavalliset internetin ja eri sovellusten käyttäjät eivät voi itse tehdä mitään haavoittuvuuden korjaamiseksi. Korjaavista toimenpiteistä vastaavat ohjelmistojen valmistajat, sovellustoimittajat ja palvelujen ylläpitäjät. 

Esri tutkii aktiivisesti Log4j2-kirjastohaavoittuvuuden (CVE-2021-44228) vaikutuksia Esrin tuotteisiin ja ratkaisuihin. Esri tiedottaa tietoturva-asioista keskitetysti ArcGIS Trust Center -verkkosivustolla. Aihetta käsittelevää tiedotetta ArcGIS and CVE-2021-44228 Apache Log4j 2 päivitetään selvitysten ja töiden edetessä. Suosittelemme sen seuraamista.

Noudatamme Esri Finlandissa Kyberturvallisuuskeskuksen suosituksia ja olemme kattavasti suojanneet ympäristömme sekä asiakkaille tuotettavat palvelut.  Aloitimme suojatoimien teon heti, kun tieto haavoittuvuudesta julkaistiin. 

ArcGIS Enterprise

Haavoittuva komponentti on käytössä ArcGIS Enterprisessa. Mahdollisia haavoittuvuuden hyväksikäyttötapauksia ei ole tiedossa. Esri on luonut scriptin, jolla poistetaan haavoittuva komponentti Log4j2-kirjastosta. Esri suosittaa, että kaikki ArcGIS Enterprise -asiakkaat ajavat kyseisen scriptin. Tarkemmat ohjeet löydät Esrin tiedotteesta. Esri Finland on ollut yhteydessä asiakkaisiin, joita mahdollinen haavoittuvuus koskee ja jatkaa asian selvittämistä asiakaskohtaisesti.    

ArcGIS Monitor

Tuote ei sisällä Log4j:tä, joten se ei ole haavoittuvainen tälle ongelmalle.

ArcGIS Pro

Uusimmat ArcGIS Pro julkaisut sisältävät Log4j:n, mutta ohjelmisto ei kuuntele sisäänpäin tulevaa verkkoliikennettä, eikä siksi ole tiettävästi haavoittuvainen.

ArcGIS Online

Esri on toteuttanut ArcGIS Online -alustaan suojatoimenpiteitä mahdollisten hyökkäysten varalta. Selvitystyötä jatketaan ja asiaankuuluvat korjauspäivitykset asennetaan alustan muutoksenhallintaprosessien mukaisesti. 

Muut Esrin hallinnoimat pilvipalvelut

Esri on toteuttanut suojaustoimenpiteitä, joilla minimoidaan hyökkäysten todennäköisyys. Korjaustiedostot asennetaan muutoksenhallintaprosessien mukaisesti.

Esri Finlandin aineistopalvelu (aineistot.esri.fi)

Olemme tehneet kaikki tarvittavat tiedossa olevat suojaustoimenpiteet aineistot.esri.fi -palvelun taustajärjestelmään. Esri Finlandin aineistopalvelua (aineistot.esri.fi) voi käyttää turvallisesti, kuten aiemmin.

Lisätietoja:

ArcGIS Trust Center  
 
ArcGIS and CVE-2021-44228 Apache Log4j 2

Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostilla tietosuoja@esri.fi.

Kyberturvallisuuskeskuksen haavoittuvuustiedote: https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_38/2021