Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), 2021. NÚKIB vydává reaktivní opatření v souvislosti se zranitelností Log4Shell [online]. 15.12. [cit. 15.12.2021]. Dostupné z: https://nukib.cz/cs/infoservis/hrozby/1785-nukib-vydava-reaktivni-opatreni-v-souvislosti-se-zranitelnosti-log4shell/ 

„K vydání reaktivního opatření jsme se rozhodli kvůli extrémně závažné kybernetické hrozbě, která může mít dopad na fungování celé společnosti a která může ohrozit nejen systémy regulované podle zákona o kybernetické bezpečnosti. Proto doporučujeme úkony definované reaktivním opatřením aplikovat i těm subjektům, které do regulace nespadají,“ říká ředitel NÚKIB Karel Řehka.

Instalace některých konfiguracích Sinch Contact Pro (aka SAP BCM, SAP Contact Center, SAP CCtr…) obsahují i knihovnu Apache Log4j, která může být v nižší verzi zranitelná – týká se to komponent obsahující Ecf Web Server, tj. tam, kde se využívají komponenty Communication Panel nebo Chat.

Okamžité, dočasné řešení je snížit, nebo úplně vypnout protokolování těchto komponent. Na samotný provoz Sinch Contact Pro to nemá žádný vliv, práci uživatelů ani zákazníků to nijak neovlivní.

Opravu lze udělat buď podle postupu na stránkách Sinch a Apache nebo počkat na uvolnění hotfixu, na kterém Sinch intenzivně pracuje. Ten bude poskytnut pro verze FP15 výše.

V současnosti není znám scénář, kterým by šlo v této aplikaci této chyby zneužít.

V případě, že potřebujete další informace nebo pomoc s dalším postupem, neváhejte se na nás obrátit >>.

Oficiální zdroje:

 Pokyn SAP (vyžaduje přihlášení S-uživatelem): 3129880 - Vulnerabilities found in JAVA which could affect ECF (Tomcat Apache Log4j security vulnerabilities)

 Pokyn Sinch: Security Vulnerability Reported: Apache Log4j - Sinch Community - 8805

 Pokyn Apache k opravě chyby: https://logging.apache.org/log4j/2.x/security.html