Ook patch voor Log4j blijkt lek te zijn

Dit artikel delen:

De patch die is uitgebracht voor het veiligheidslek in Log4j voldoet niet. Hoewel deze eerste ‘pleister’ niet helemaal zonder nut is, blijkt er toch weer een zwak punt in te zitten. Criminelen kunnen via deze kwetsbaarheid (voor Log4Shell) ‘denial of service-aanvallen’ doen en systemen platgooien. Ook bestaat er een kans dat aanvallers van afstand toch malware kunnen plaatsen. Het is daarom raadzaam de patch 2.15.0 te vervangen door de nieuwe patch 2.16.0 die Apache sinds vanochtend beschikbaar stelt.

Wie de nieuwe versie niet installeert, kan te maken krijgen met een gat in een logconfiguratie waarvan de patroonlay-out een zogenaamde context-lookup is of een thread-context map-patroon. Aanvallers kunnen dan een denial of service activeren met gemanipuleerde gegevens die ze naar de kwetsbare server sturen. Als een snelle update niet mogelijk is, moet men in ieder geval de JNDI lookup class verwijderen. 

Expertisecentrum Z-Cert maakt zich ernstige zorgen over de kwetsbaarheid in de Java-log-tool Log4j. De meeste ict-systemen in de (gezondheids)zorg maken van deze tool gebruik. In Nederland en België is tot nog toe beperkt actief misbruik waargenomen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-12-15T12:49:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.