Sårbarheden fundet i log4net (jf. https://www.digitaliser.dk/news/6042808)
eksisterer ikke i log4j, hvorfor det ikke er nødvendigt at frigive en
sikkerhedspatch til selve OIORASP Java.
OIORASP Java version 2.x blev i sin tid (2012-2016) releaset med
anvendelse af en underliggende log4j version 1.2.17. Denne version er
ikke længere vedligeholdt, og ny version bør derfor anvendes.
Vi har i Nemhandel teamet opdateret OIORASP Java demo-endepunktet
(GLN 5798009811547) til at benytte log4j version 2.14.1
(log4j-core-2.14.1.jar), og det kan gøres som ren replace af fil - man
skal dog som Nemhandel aktør selv opdatere egen Java-kode.
Med venlig hilsen - På vegne af Nemhandel teamet
Mogens Christensen, CGI