Wouter Hoeffnagel - 16 december 2021

Update blijkt Log4j-kwetsbaarheid niet volledig te verhelpen

Update blijkt Log4j-kwetsbaarheid niet volledig te verhelpen image

De Apache Software Foundation publiceert een nieuwe patch voor de Log4j-kwetsbaarheid. De eerder uitgebracht update blijkt het lek niet volledig te verhelpen.

Op 9 december is een kwetbsaarheid ontdekt in Log4j. Log4j is een veelgebruikte library voor Java die in uiteenlopende systemen en toepassingen is geïntegreerd. De library wordt onder meer ingezetten voor logging-doeleinden. De library blijkt echter een kwetsbaarheid te bevatten. Logs van Log4j die tussen 13 september 2013 en 5 december 2021 zijn gegenereerd kunnen worden misbruikt om Java-applicaties code van een externe server in te laden en lokaal uit te voeren.

Java Naming and Directory Interface

Het probleem zit in de Java Naming and Directory Interface (JNDI), een API waarmee Log4j sinds 2013 werkt. JNDI stelt een Java-applicatie in staat code van een externe server op te halen en lokaal uit te voeren. Ontwikkelaars configureren dit door in een regel code een verwijzing naar een externe server aan een applicatie toe te voegen. Gebruikers blijken echter in staat deze URL te manipuleren indien zij erin slagen een gemanipuleerde versie van de eerder genoemde verwijzing te laten loggen.

De Apache Software Foundation publiceerde eerder al een noodpatch om de kwetsbaarheid in Log4j te dichten. Sindsdien is het voor softwareleveranciers alle hens aan dek om hun software zo snel mogelijk te updaten. Nu blijkt echter dat versie 2.15 het probleem niet volledig verhelpt; securitybedrijf LunaSec meldt dat het mogelijk blijft instellingen aan te passen en zo gelogde JNDI-opdrachten te laten uitvoeren. Versie 2.16 voorkomt dit.

Meer informatie is hier beschikbaar.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024