Tiedote

Kriittinen Log4j-komponentin haavoittuvuus / Critical Vulnerability in Log4j Component

PÄIVITYS 19.1.2022 14:40

Telia Inmics-Nebula jatkaa edelleen maailmanlaajuisen log4j-komponentin haavoittuvuuden tilanneseurantaa. Haavoittuvuudella ei ole tällä hetkellä vaikutuksia Telia Inmics-Nebulan palveluihin. Olemme keskittyneet haavoittuvuuden julkaisemista lähtien ylläpitämiemme alustapalveluiden suojaamiseen ja jatkuvuuden varmistamiseen huomioiden päivittyvän tilannekuvan ja palvelutoimittajien suositukset. Reagoimme muuttuviin tilanteisiin ja tiedotamme teitä, mikäli tilannekuva muuttuu oleellisesti. Päivitämme log4j-tiedotetta aina myös verkkosivuillemme osoitteessa www.inmicsnebula.fi/fi/tiedotteet.

Tuorein log4j-ohjelmistopäivitys, versionumerolla 2.17.1, julkaistiin 27.12.2021. Koska tilannekuva elää koko ajan ja yksi päivitys ei välttämättä riitä, asiakkaan tulee olla itse aktiivinen haavoittuvuuden seurannan osalta ja reagoida tarvittaessa muutoksiin. Tilannekuvan muodostamisen osalta tulee muistaa myös se, että kyseinen komponentti saattaa olla paketoituna kolmannen osapuolen sovellukseen, mutta kyseinen sovellus ei käytä sitä. Sen lisäksi tulee huomioida, että mahdollisen palvelimella sijaitsevan log4j-komponentin päivittäminen ei välttämättä suojaa ympäristöäsi kokonaisuudessaan.

Kehotamme asiakkaitamme edelleen olemaan suoraan yhteydessä sovellus- tai laitetoimittajiin. Telia Inmics-Nebula voi palvella sovellustason palvelupyynnöissä vain rajoitetusti, noudattaen asiakkaan tai asiakkaan välittämää sovellustoimittajan suoraa ohjeistusta. Telia Inmics-Nebula ei vastaa mahdollisesta palvelupyynnön jälkeisestä asiakkaan liiketoimintaympäristöön kohdistuvasta haitasta.

Suosittelemme seuraamaan Kyberturvallisuuskeskuksen ohjeita. Kyberturvallisuuskeskus on julkaissut myös haavoittuvuutta koskevan suomenkielisen videon, johon tutustua viestin lopussa olevasta linkistä.

Tietosuojavaltuutettu on myös julkaissut tiedotteen koskien log4j-haavoittuvuutta. Tiedotteessa kerrotaan, että rekisterinpitäjien on huomioitava henkilötietojen suoja. Tietosuojavaltuutetun toimistolle tulee ilmoittaa, mikäli mahdollinen tietoturvaloukkaus on vaarantunut henkilötietoja.

Kriittinen haavoittuvuus apache log4j-komponentissa

Tietosuojavaltuutetun tiedote

 

 

Telia Inmics-Nebula continues to minimize risks and maintain situation awareness regarding the Log4j vulnerability. The announced vulnerability doesn’t currently affect services provided by Telia Inmics-Nebula. Since the vulnerability was announced we’ve been focusing on securing the continuity of our Service Platforms while at the same considering the updates with situation awareness and vendor guidelines. We will respond to changing conditions and will communicate separately if the situation awareness significantly changes. Our log4j info is always being updated also on our websites in www.inmicsnebula.fi/fi/tiedotteet.

The most recent log4j software update, version 2.17.1, was released Dec 27th, 2021. As the situation awareness evolves all the time and one software update isn’t necessarily enough, Customer itself must remain active and if necessary, react to changes regarding the vulnerability. Regarding the vulnerability situation awareness, one must also remember that the vulnerable component might be embedded inside a 3rd party software, but the software isn’t necessarily using the vulnerable component. In addition, updating a possible server side Log4j component doesn’t necessarily fully protect your environment.

Our strong recommendation is still to contact your Software and Device vendors. Telia Inmics-Nebula has limited capabilities in terms of software layer service requests. We will act on Customer’s advice or on vendor’s advice guided by our Customer. Telia Inmics-Nebula is not responsible of for any damage in Customer’s business environment as result of the service request.

We also recommend following the instructions of National Cyber Security Center (NCSC-FI). NCSC-FI also released a Finnish-speaking video regarding the vulnerability. Click on the link below to access.

Data Protection Ombudsman’s release regarding the log4j vulnerability is also available. Data controllers must consider the protection of personal data. If a security breach has occurred and personal data has been compromised, The Office of the Data Protection Ombudsman must be informed.

Critical Vulnerability in apache log4j component (Finnish)

Data Protection Ombudsman's release (Finnish)