Dne 10. prosince vydal Národní úřad pro kybernetickou a informační bezpečnost upozornění na kritickou zranitelnost CVE-2021-44228 označovanou také jako Log4Shell. Ještě tentýž den začal náš tým vývojářů zranitelnost analyzovat.
Výsledkem analýzy je, že systém DPGW netrpí zranitelností Log4Shell.
DPGW využívá jako logovací backend Logback a SLF4J. Samotný Log4j není systémem DPGW ani žádnou jeho závislostí využíván (pro knihovny, které log4j využívají je použit log4j-over-slf4j, který zranitelnost neobsahuje).
Na bezpečnost systému dbáme následovně:
- pravidelně sledujeme nové zranitelnosti všech knihoven a závislostí, které náš systém využívá na CVE listu
- sledujeme doporučení Národního úřadu pro kybernetickou a informační bezpečnost
- provádíme analýzu rizik s ohledem na OWASP Top Ten
- proti našemu systému jsou pravidelně prováděny penetrační testy společností Crashtest security
