Loading…
Tilbage

Sårbarhed fundet i OIORASP Library versioner


Vi er blevet opmærksomme, at der er fundet og rapporteret en sårbarhed, en komponent, at indgår de aktuelle OIORASP Library versioner.

Mange tak for ekstern input vedr. dette.

OIORASP .Net version 2.1.0 anvender en komponent log4net, hvor sårbarheden af fundet.
Se evt. yderligere detaljer her: https://github.com/advisories/GHSA-2cwj-8chv-9pp9.

Den nuværende anvendte version af log4net er version 1.2.11. Sårbarheden er kendt i log4net versioner < 2.0.10 i forhold til XXE injections. Denne type injektions er kritiske og kan udover at være et sikkerhedshul også medføre DoS (Denial of service). Nyeste version af log4net er 2.0.12, hvor denne sårbarhed er afhjulpet.

Samme problemstilling gør sig gældende for OIORASP Java version 2.1.0, hvor komponenten hedder log4j.

Nemhandel teamet har påbegyndt arbejdet vedr. en frivillig hotfix vedr. denne sårbarhed.

Vi forventer i næste uge at komme med en udmelding af plan for hotfix og plan for helt ny version af OIORASP .Net & OIORASP Java.

Med information følger i næste uge.

Med venlig hilsen
på vegne af Nemhandel teamet

Mogens Christensen, CGI