Jitsi berörs inte direkt av Log4j-hålet

Henrik SA3BPE.

Den 11 december skickade CERT-SE ut ett blixtmeddelande med varning för ett säkerhetshål i ett mycket använt Apachebibliotek, Log4j. Varningsmeddelandet riktade sig till företag och andra som kör egna servrar.

Senare har det förekommit uppgifter om att Jitsi skulle vara påverkat. Läsare har vänt sig till vår redaktion bett om mer detaljer. Henrik SA3BPE reder ut begreppen:

— Kortfattat, och enkelt förklarat, så berörs inte Jitsi direkt av Log4j hålet, sammanfattar Henrik.

Egna Jitsiservrar måste dateras upp
— Men, undantag finns när man har specialanpassat Jitsi efter egna önskemål, och det kan beröra äldre versioner av Jitsi. De som kör egen Jitsiserver ska snarast uppdatera till ver 1.1-216. Det finns en komponent i Jitsimjukvaran som körs på servern, denna ska INTE vara äldre än 2.1-504 och det gäller komponenten Videobrygga (Videobridge).

— Har man senaste versionen av hela Jitsipaketet på sin server så är man skyddad från Log4j. Enligt nedanstående länk är allt fixat i Jitsimjukvaran som släpptes 10/12-2021.

Ha alltid senaste programversionerna
— Som alltid när man sätter upp saker mot Internet gäller det att hela tiden följa med och bevaka om det kommer nya uppdateringar. Och, speciellt patcha (uppdatera) när det gäller säkerhetsrelaterade buggar och hål som upptäcks. När det kommer till rena funktionsuppdateringar är detta av mindre vikt, då är det bara tjänstens funktionalitet som påverkas, och, i en del fall kompatibilitet med andra systemresurser för specifik tjänst.

73 de SA3BPE Henrik

Länkar
CERT-SE (2021-12-11): BM21-004: Kritisk sårbarhet i vanligt förekommande Apache-biblioteket Log4j (uppdaterad 2021-12-20)  
Jitsi.org (2021-12-10) CVE-2021-44228 and Jitsi components 
Exempel på Jitsi lösenordssträng: https://meet.jit.si/Godtycklig_slumpmässig_Lösenordssträng