Apache Log4j-sårbarheter

Hvordan er Tansa programvare påvirket?

Tansa Client 5.0.129.1686 er ikke påvirket

Tansa Client 5.0.129.1686 ble publisert 04.01.2022, oppdatert fra Log4j 2.17.0 til Log4j 2.17.1 (siste versjon til da).

Tansa Client 5.0.128.1684 er delvis påvirket

Tansa Client 5.0.128.1684 ble publisert 22.12.2021, oppdatert fra Log4j 2.16 til Log4j 2.17.0 (daværende siste versjon). Et annet sikkerhetshull påvirker også Log4j 2.17.0, derfor ble Log4j 2.17.1 publisert 27.12.2021.

Tansa Client 5.0.127.1680 er delvis påvirket

Tansa Client 5.0.127.1680 ble publisert 15.12.2021, oppdatert fra Log4j 1.2.17 til Log4j 2.16 (daværende siste versjon). Så ble det oppdaget et annet sikkerhetshull som også påvirker Log4j 2.16, derfor ble Log4j 2.17.0 publisert 18.12.2021.

Tansa Client før versjon 5.0.127.1680 og annen Tansa programvare er ikke påvirket

Tansa Client før versjon 5.0.127.1680 og Tansa Admin benytter Log4j 1.2.17. Disse er dermed ikke påvirket av noen av den siste tidens rapporterte sikkerhetshull med Log4j.

Det er to Tansa-programmer som benytter Log4j:

  • Tansa Administrator
    • 5.0.38.612 benytter Log4j 2.17.1 (ikke påvirket)
    • Tidligere versjoner benytter Log4j 1.2.17 (ikke påvirket)
  • Tansa Client
    • 5.0.129.1686 benytter Log4j 2.17.1 (ikke påvirket)
    • 5.0.128.1684 benytter Log4j 2.17.0 (delvis påvirket)
    • 5.0.127.1680 benytter Log4j 2.16 (delvis påvirket)
    • Tidligere versjoner benytter Log4j 1.2.17 (ikke påvirket)

Gå til Samleside for Log4j – Nasjonal sikkerhetsmyndighet (nsm.no) for å lese mer om Log4j-sårbarheter.

I følge Log4j – Apache Log4j Security Vulnerabilities skal alle versjoner av Log4j fra og med 2.0 til og med 2.16.0 være sårbare: 

«All versions from 2.0-alpha7 to 2.17.0, excluding 2.3.2 and 2.12.4»

Et tilsvarende sikkerhetsproblem kan i følge Red Hat Bugzilla – Bug 2031667 oppstå i Log4j 1.x, hvis applikasjonen er konfigurert til å benytte JMSAppender:

«A flaw was found in the Java logging library Apache Log4j in version 1.x . This allows a remote attacker to execute code on the server if the deployed application is configured to use JMSAppender.»

JMSAppender er ikke aktivert og i bruk av Tansa, så Tansa er dermed trygg for denne typen angrep.

Hva gjør vi?

Både Tansa Client og Tansa Admin er nå oppdatert til å benytte Log4j 2.17.1.

Når vil nye installeringsprogrammer foreligge og hvordan?
Oppdaterte versjoner av Tansa Client og Tansa Admin er nå publisert.

Kunder som har driftsavtale vil få sine servere fortløpende oppdatert av oss. Samtidig vil andre kunder motta nye versjoner gjennom Tansa Update eller ved å ta direkte kontakt med oss på support@tansa.com. Vi kan være behjelpelige med installasjon av oppdateringen.