Status etter sårbarhet i Apache Log4J

Onsdag 5. januar ble det lagt ut en oppdatering av eInnsyns-klienten, samt at en ny versjon av klienten (2.1.0). Vi anbefaler alle med eInnsyns-klient alternativ 0 om å ta i bruk den nye klienten snarest. Ingen sentrale deler av fellesløsningene skal være eksponert for feilen.

Oppdatert status om eInnsyn onsdag 5. januar kl. 23:00.

eInnsyn

Onsdag 5. januar ble det gjort tilgjengelig to nye versjoner av eInnsyns.klienten. Versjon 2.0.4.2 har lik funksjonalitet som tidligere versjon, men Log4j-core er fjernet. Lenke til nedlasting av versjon 2.0.4.2 og fullstendig releasenotes finnes her: https://github.com/difi/einnsyn-klient/releases/tag/2.0.4.2

Versjon 2.1.0 er en ny versjon eInnsyns-klienten og inneholder ny funksjonalitet og rettinger. Lenke til nedlasting og fullstendig realesenotes finner dere her: https://github.com/difi/einnsyn-klient/releases/tag/2.1.0

Onsdag 22. desember kl 19:00 la vi ut en ny versjon av eInnsyns-klienten. Bakgrunnen for dette var at CVSS scoren på denne sårbarheten har endret seg, og Apache mente at tidligere tiltak ikke var gode nok. I den nye versjonen er Jndi-classen fjernet. Vi anbefaler alle med eInnsynsklient på alternativ 0 om å ta i bruk den nye klienten snarest.

Den nye klienten finner dere her: https://github.com/difi/einnsyn-klient/releases/tag/2.0.4.1

Digital postkasse, eSignering og ELMA

Disse fellesløsningene er ikke rammet av sårbarheten.

ID-porten, Kontaktregisteret og Maskinporten

Fellesløsningene er ikke direkte berørt av sårbarheten, men det vil gjennomføres patching i løpet av de neste dagene.

eFormidling

Integrasjonspunktet i eFormidling er ikke berørt av sårbarheten, og kan kjøres som normalt.

Integrasjonspunktet inneholder noen bibliotek som inneholder navnet "log4j", men dette er bare biblioteket som brukes for å erstatte log4j med alternative loggbibliotek.

Det er to tredjeparts støttekomponenter som har vært berørt i eFormidling. Den ene ble slått av umiddelbart på fredag, og ble tatt opp igjen på lørdag. Den andre komponenten som var berørt, men som ikke har vært eksponert eksternt og derfor ikke ble tatt i første omgang, ble patchet mandag.

Kontakt oss for spørsmål

Servicedesk

Telefon: 957 36 103