De Apache Software Foundation heeft nog steeds zijn handen vol aan Log4Shell. Om een nieuwe kwetsbaarheid onschadelijk te maken, wordt opnieuw een beveiligingsupdate uitgebracht.
Log4j 2.17.1 vormt de vijfde update die Apache deze maand uitbrengt. Begin december werd een ernstige zero day-kwetsbaarheid ontdekt in de populaire logbibliotheek Apache Log4j. Sindsdien zijn alle ogen al een tijdje gericht op de Apache Software Foundation. Die meldde in anderhalve week tijd drie keer een bug te hebben ontdekt.
In de tussentijd zijn we al aangekomen bij de vijfde beveiligingsupdate. Ditmaal werd een kwetsbaarheid ontdekt in Log4j 2.17.0 die het gemachtigde personen toelaat om het configuratiebestand voor logboekregistratie te wijzigen. Uiteindelijk wordt de uitvoering van externe code zo mogelijk.
Kwetsbaarheidscore van 6,6 op 10
Hoewel dit misschien heel ernstig klinkt, is de kwetsbaarheid minder ernstig dan eerdere kwetsbaarheden. Het misbruik kan namelijk enkel plaatsvinden als de aanvaller gemachtigd is om het configuratiebestand aan te passen. De kwetsbaarheid krijgt nog steeds een score van 6,6 op 10, wat meteen aanduidt hoe ernstig de eerdere kwetsbaarheden zijn.
De nieuwe beveiligingsupdate moet volgens Apache geïnstalleerd worden door gebruikers van Java 8. Gebruikers van Java 7 updaten best naar Log4j 2.12.4 en Log4j 2.3.2 voor Java 6.
lees ook