Ernstige kwetsbaarheid in populaire logbibliotheek Java

account security

De populaire logbibliotheek Apache Log4j bevat een ernstige zero day-kwetsbaarheid. Aanvallers kunnen die misbruiken om malafide code uit te voeren op een systeem.

Systemen die Apache Log4j gebruiken om de logfunctionaliteit te ondersteunen, zijn kwetsbaar voor een gevaarlijke zero day-kwetsbaarheid. Dat ontdekten beveiligingsonderzoekers van LunaSec. Zij noemen de kwetsbaarheid Log4Shell. Officieel gaat ze door het leven als CVE-2021-44228.

Server overnemen

De kwetsbaarheid laat een aanvaller toe om zonder toestemming vanop afstand code te draaien. Dat vertaalt zich in de praktijk naar aanvallen waarbij de hacker een volledige server kan overnemen. Apache Log4j 2.0 tot 2.14.1 zijn getroffen. Aangezien de bibliotheek populair is, zijn heel wat diensten kwetsbaar. De bug werd eerst in het spelletje Minecraft ontdekt, maar treft ook cloudtoepassingen. CERT Nieuw Zeeland waarschuwt dat de bug al actief misbruikt wordt in het wild.

Gelukkig kan je het gevaar voorkomen met een eenvoudige upgrade naar Log4j 2.15.0-rc1. Je kan het gevaar ook mitigeren door log4j2.formatMsgNoLookups naar True te zetten door het JVM-commando om de toepassing te starten uit te breiden met Dlog4j2.formatMsgNoLookups=True. Dat kan wel een impact hebben op de functionaliteit. Aangezien criminelen actief misbruik maken van het probleem, is het in ieder geval aangeraden om actie te ondernemen.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.