Domande frequenti sull 'vulnerabilità di Log4j per LastPass

La versione ufficiale di questo contenuto è in inglese. Alcuni dei contenuti della documentazione di GoTo sono stati tradotti per facilitarne l’accesso. GoTo non ha il controllo sui contenuti tradotti in modo automatico, che potrebbero contenere errori, imprecisioni o essere in una lingua errata. Non viene fornita alcuna garanzia, esplicita o implicita, in merito alla precisione, all’affidabilità, all’adeguatezza o alla correttezza di qualsiasi traduzione dall’originale inglese a qualsiasi altra lingua, e GoTo declina ogni responsabilità per eventuali danni o problemi derivanti dall’uso di questi contenuti tradotti automaticamente da parte dell’utente o per l’affidabilità di tali contenuti.

Consulta le informazioni importanti sulla vulnerabilità Log4j qui sotto.

Qual è la vulnerabilità?

Venerdì 10 dicembre, una vulnerabilità zero-day che riguarda Log4j, uno strumento di registrazione open-source ampiamente utilizzato che fa parte di servizi di registrazione di Apache, ha interessato un sottoinsieme consistente di aziende del settore software.
Una seconda vulnerabilità riguarda Apache Log4j è stata trovata in inglese, 14 dicembre.
Con questa vulnerabilità, è possibile che un agente di attenzione possa avere accesso e controllare i messaggi o i parametri di registro dell'interfaccia LDAP o altro interfaccia di Directory Java Naming (JNDI) e in seguito potrebbe tentare di eseguire il codice caricato dai server remoti.

LastPass è interessato?

Dopo aver preso coscienza della vulnerabilità, LastPass avviare un'indagine per determinare se è necessario richiedere ulteriori azioni per attenuare la vulnerabilità. Questa indagine, al momento, non ha trovato alcun segno di compromesso e non c 'è nessuna azione necessaria per la maggior parte del LastPass clienti.
Nell “ambito dell ”indagine, il nostro team ha rilasciato un aggiornamento per i clienti di LastPass MFA che utilizzano Universal Proxy su Windows con la registrazione di Debug attivata e tali clienti sono fortemente consigliati per aggiornare la versione più recente di Universal Proxy 3.0.3 o 4.1.3.
Non è richiesta alcuna azione se non sei un cliente di LastPass MFA utilizzando Universal Proxy su Windows con l'opzione di Debug abilitato.

Cos'è LastPass Universal Proxy?

L ' Proxy di LastPass Universal Proxy estende la portata di LastPass MFA alle applicazioni in loco quali le VPN, per un ulteriore livello di sicurezza a ogni accesso.
Individua le istruzioni per configurare Universal Proxy qui.

Devo fare qualcosa?

I clienti LastPass Free, premium, families, teams e Business non devono eseguire alcuna azione.
I clienti LastPass MFA che utilizzano Universal Proxy su Windows con registrazione di Debug sono fortemente invitati ad aggiornare la versione più recente di Universal Proxy 3.0.3 o 4.1.3.