De patch die is uitgebracht voor het veiligheidslek in Log4j voldoet niet. Hoewel deze eerste ‘pleister’ niet helemaal zonder nut is, blijkt er toch weer een zwak punt in te zitten. Criminelen kunnen via deze kwetsbaarheid (voor Log4Shell) ‘denial of service-aanvallen’ doen en systemen platgooien. Ook bestaat er een kans dat aanvallers van afstand toch malware kunnen plaatsen. Het is daarom raadzaam de patch 2.15.0 te vervangen door de nieuwe patch 2.16.0 die Apache sinds vanochtend beschikbaar stelt.
Wie de nieuwe versie niet installeert, kan te maken krijgen met een gat in een logconfiguratie waarvan de patroonlay-out een zogenaamde context-lookup is of een thread-context map-patroon. Aanvallers kunnen dan een denial of service activeren met gemanipuleerde gegevens die ze naar de kwetsbare server sturen. Als een snelle update niet mogelijk is, moet men in ieder geval de JNDI lookup class verwijderen.
Expertisecentrum Z-Cert maakt zich ernstige zorgen over de kwetsbaarheid in de Java-log-tool Log4j. De meeste ict-systemen in de (gezondheids)zorg maken van deze tool gebruik. In Nederland en België is tot nog toe beperkt actief misbruik waargenomen.
Uw reactie
LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren