Søg

To år efter stor krise: Log4j udgør stadig et kæmpe it-sikkerhedsproblem

Log4j-usikkerheden ramte it-afdelinger overalt som en forhammer i december 2021. Her to år efter er Log4J stadig et kæmpe sikkerhedsproblem. Hver tredje applikation kører en totalt usikker version, som udgik for over otte år siden, viser en omfattende undersøgelse.

18. december 2023 kl. 15.59
Artikel top billede

(Foto: JumpStory)

Niels Veileborg Niels Veileborg Debatredaktør

Log4j og Log4Shell. Bare navnene giver mindelser om panik, krisestemning og lange arbejdsdage i december for to år siden.

Log4Shell var den nuldags-sårbarhed, der fik virksomheder overalt i verden til at sætte alarmberedskabet i sving for at gennemgå hele den interne struktur.

Sårbarheden viste sig i Java-værktøjet Apache, som anvendes til webserver-implementeringer i hundredtusindvis af virksomheder og myndigheder verden over.

Fejlen gjorde – og gør – det nemt for cyberkriminelle at få adgang til forretningskritiske og essentielle systemer.

Man skulle så måske tro, at problemerne her to år efter skulle være patchet og løst og Log4Shell derfor ikke skulle have en chance

Men det er langt fra tilfældet.

Hver tredje er fortsat usikker

Faktisk viser en ny stor undersøgelse foretaget af softwareanalyse-selskabet Veracode, at ikke mindre end hver tredje webapplikation i verden kører en usikker version af Log4j, som nåede end-of-life i 2015 og ikke længere modtager sikkerhedsopdateringer.

Der er tale om den version, der hedder Log4j2 1.2.x.

Apache annoncerede så sent som i januar 2022 tre kritiske usikkerheder i denne version, nemlig CVE-2022-23307, CVE-2022-23305 og CVE-2022-23302.

Inklusive disse er der i alt syv alvorlige usikkerheder knyttet til denne version, siden den nåede end-of-life.

Veracodes undersøgelse afslører også, at 2,8 procent af webapplicationerne i verden faktisk bruger en version af Log4j, som har Log4Shell-usikkerhederne - nemlig Log4j2 2.0-beta9 til 2.15.0.

3,8 procent af applikationerne bruger stadig Log4j2 2.17.0, som faktisk er patchet mod Log4Shell, men som indeholder den alvorlige usikkerhed kaldet CVE-2021-44832.

Veracode skriver i en kommentar til resultaterne, at der stadig er plads til forbedringer når det gælder sikkerhed i open source-software.

Selskabet understeger også som den vigtigste pointe, at virksomheder og organisationer verden over formentlig ikke er klar over, hvor stor en open source-sikkerhedsrisiko de er udsat for, og hvordan de skal afbøde det.

Veracodes undersøgelse blev foretaget over 90 dage mellem 15. august og 15. november i år.

Selskabet foretog softwarescanninger af ikke mindre end 38,278 unikke applikationer i 3.866 virksomheder og organisationer, som kørte Log4j version 1.1 til 3.0.0-alpha1.

Læs om Log4j:

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Platform X - Danmarks nye store konference for enterprise-platforme

    Annonceindlæg fra Computerworld

    Platform X - Danmarks nye store konference for enterprise-platforme

    For første gang: Computerworld præsenterer stærkt program for Platform X

    Netcompany A/S

    Data Management Consultant

    Midtjylland

    Capgemini Danmark A/S

    SAP Engagement Manager

    Midtjylland

    Aller Media A/S

    Salesforce Application Administrator – Be Part of a Growing and Improving CRM Platform

    Uspecificeret arbejdssted

    Forsvaret

    Specialist til udvikling af energistyringssystem

    Nordjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 8. december 2025 ansat Niko Phonekeo som Digital Marketing Manager. Han skal især beskæftige sig med Primært NORRIQs marketing tech stack, digitale kampagneudvikling SEO og lead management. Han kommer fra en stilling som Nordic Marketing Director. Nyt job

    Niko Phonekeo

    Norriq Danmark A/S

    Alcadon ApS har pr. 1. januar 2026 ansat Per Claus Henriksen som Datacenter-specialist. Per skal især beskæftige sig med opbygning og udvikling af Alcadons datacenterforretning. Per har tidligere beskæftiget sig med forskellige facetter af datacenterbranchen. Både via PR-bureau og som ansat i datacentre. Nyt job

    Per Claus Henriksen

    Alcadon ApS

    Norriq Danmark A/S har pr. 8. december 2025 ansat Sarah Birkegaard Elkjær som Marketing Project Manager. Hun skal især beskæftige sig med at styrke marketingsteamets evne til at planlægge, drive og følge op på leadgenererende aktiviteter. Nyt job

    Sarah Birkegaard Elkjær

    Norriq Danmark A/S

    Idura har pr. 1. januar 2026 ansat Joshua Pratt, 32 år, som software engineer. Han skal især beskæftige sig med at bruge sin tekniske knowhow og erfaring i teamet for extensions og integrationer. Han kommer fra en stilling som Tech Director hos NoA Ignite Denmark. Han har tidligere beskæftiget sig med komplekse webprojekter, senest udviklingen af det nye website og e-commerce-platform for tivoli.dk. Nyt job

    Joshua Pratt

    Idura

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Dansk rejseportal ramt af ransomware-angreb: "Jeg fældede da en tåre"
    2 Frigivne Epstein-mails giver dramatisk indblik i kæmpe Microsoft-flop: Advarede om en katastrofal fiasko
    3 Amerikansk ministerium med opsigtsvækkende tiltag: Kræver, at tech-selskaber udleverer oplysninger om kritikere af Trump
    4 Derfor rippes Silicon Valleys butikker for små Macs: Hypet AI-værktøj truer med at gøre det af med apps
    5 Danmarks it-forsker nummer et, Jens Myrup, lander nyt job – efter 25 år på samme arbejdsplads
    6 Kinesiske stats-hackere slog til: Open source-værktøj til tekstredigering med millioner af brugere var kapret i et halvt år
    7 Tysk cloud-gigant lover europæisk alternativ til AWS og Microsoft
    8 Denne browser vil gøre det muligt for dig at afvise AI-funktioner, når du søger på nettet

    Se seneste uge