Søg

To år efter stor krise: Log4j udgør stadig et kæmpe it-sikkerhedsproblem

Log4j-usikkerheden ramte it-afdelinger overalt som en forhammer i december 2021. Her to år efter er Log4J stadig et kæmpe sikkerhedsproblem. Hver tredje applikation kører en totalt usikker version, som udgik for over otte år siden, viser en omfattende undersøgelse.

18. december 2023 kl. 15.59
Artikel top billede

(Foto: JumpStory)

Niels Veileborg Niels Veileborg Debatredaktør

Log4j og Log4Shell. Bare navnene giver mindelser om panik, krisestemning og lange arbejdsdage i december for to år siden.

Log4Shell var den nuldags-sårbarhed, der fik virksomheder overalt i verden til at sætte alarmberedskabet i sving for at gennemgå hele den interne struktur.

Sårbarheden viste sig i Java-værktøjet Apache, som anvendes til webserver-implementeringer i hundredtusindvis af virksomheder og myndigheder verden over.

Fejlen gjorde – og gør – det nemt for cyberkriminelle at få adgang til forretningskritiske og essentielle systemer.

Man skulle så måske tro, at problemerne her to år efter skulle være patchet og løst og Log4Shell derfor ikke skulle have en chance

Men det er langt fra tilfældet.

Hver tredje er fortsat usikker

Faktisk viser en ny stor undersøgelse foretaget af softwareanalyse-selskabet Veracode, at ikke mindre end hver tredje webapplikation i verden kører en usikker version af Log4j, som nåede end-of-life i 2015 og ikke længere modtager sikkerhedsopdateringer.

Der er tale om den version, der hedder Log4j2 1.2.x.

Apache annoncerede så sent som i januar 2022 tre kritiske usikkerheder i denne version, nemlig CVE-2022-23307, CVE-2022-23305 og CVE-2022-23302.

Inklusive disse er der i alt syv alvorlige usikkerheder knyttet til denne version, siden den nåede end-of-life.

Veracodes undersøgelse afslører også, at 2,8 procent af webapplicationerne i verden faktisk bruger en version af Log4j, som har Log4Shell-usikkerhederne - nemlig Log4j2 2.0-beta9 til 2.15.0.

3,8 procent af applikationerne bruger stadig Log4j2 2.17.0, som faktisk er patchet mod Log4Shell, men som indeholder den alvorlige usikkerhed kaldet CVE-2021-44832.

Veracode skriver i en kommentar til resultaterne, at der stadig er plads til forbedringer når det gælder sikkerhed i open source-software.

Selskabet understeger også som den vigtigste pointe, at virksomheder og organisationer verden over formentlig ikke er klar over, hvor stor en open source-sikkerhedsrisiko de er udsat for, og hvordan de skal afbøde det.

Veracodes undersøgelse blev foretaget over 90 dage mellem 15. august og 15. november i år.

Selskabet foretog softwarescanninger af ikke mindre end 38,278 unikke applikationer i 3.866 virksomheder og organisationer, som kørte Log4j version 1.1 til 3.0.0-alpha1.

Læs om Log4j:

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Teaser billede

    Annonceindlæg tema

    Forsvar & beredskab

    Cybersikkerhed, realtidsdata og robuste it-systemer er blevet fundamentet for moderne forsvar.

    TD SYNNEX Denmark ApS

    Business Development Manager Nordics - Circular IT Services

    Københavnsområdet

    Region Midtjylland

    Løsningsarkitekt til FUT – en moderne, national sundhedsplatform

    Midtjylland

    Politiets Efterretningstjeneste

    Bliv applikationsspecialist hos PET og gør en forskel med IT

    Københavnsområdet

    Supporters A/S

    It-driftskonsulent i Jylland

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. november 2025 ansat Christian Homann som Projektleder ved netIP's kontor i Thisted. Han kommer fra en stilling som Digitaliseringschef hos EUC Nordvest. Han er uddannet med en Cand.it og har en del års erfaring med projektledelse. Nyt job

    Christian Homann

    Netip A/S

    Circle Of Bytes ApS har pr. 1. maj 2025 ansat Jeanette Kristiansen som Account Manager. Hun skal især beskæftige sig med at opbygge og styrke relationer til kunder og samarbejdspartnere, samt sikre det rette match mellem kunder og konsulenter. Nyt job

    Jeanette Kristiansen

    Circle Of Bytes ApS

    Netip A/S har pr. 15. september 2025 ansat Peter Holst Ring Madsen som Systemkonsulent ved netIP's kontor i Holstebro. Han kommer fra en stilling som Team Lead hos Thise Mejeri. Nyt job

    Peter Holst Ring Madsen

    Netip A/S

    Sentia har pr. 1. oktober 2025 ansat Morten Jørgensen som Chief Commercial Officer. Han skal især beskæftige sig med udbygning af Sentias markedsposition og forretningsområder med det overordnede ansvar for den kommercielle organisation. Han kommer fra en stilling som Forretningsdirektør hos Emagine. Nyt job

    Morten Jørgensen

    Sentia

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Styrelse siger farvel til Microsoft-programmer: 15.000 ansatte skal på open source
    2 Kinesisk skærmproducent er først med skærm-revolution
    3 Overrasker i test: Lille tysk pc-producent leverer en af julens bedste billige laptops
    4 Netcompany vinder kæmpeprojekt til 800 millioner kroner
    5 Morgen-briefing: Chat.dk er en dansk-optimeret pendant til ChatGPT / RAM-krise send mobilpriser på himmelflugt – 25 pct. Prisstigning i sigte / Systematic henter departementchef til bestyrelsen
    6 Esbjerg-baseret it-hus har modtaget uhyre sjælden Microsoft-anerkendelse: "Man skal have historisk orden i sit penalhus"
    7 Stort, globalt it-konsulenthus skal spare 5,5 milliarder kroner: Nu får det konsekvenser for den danske afdeling
    8 Regeringen vil give FE vide beføjelser: Vil kunne masseaflytte al telefoni og internet-kommunikation

    Se seneste uge