Kwetsbaarheid Log4j versie 2.16
Apache heeft vandaag bekend gemaakt dat er een Denial-of-Service-kwetsbaarheid (zie Cybersecurity Woordenboek p. 30) zit in de gisteren uitgebrachte versie 2.16.0 van Log4j.
Voor deze nieuwe kwetsbaarheid (CVE-2021-45105) hebben wij een update uitgebracht van ons eerdere beveiligingsadvies: https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052.
De ernst van deze kwetsbaarheid zou in een normale situatie niet op HIGH/HIGH worden ingeschaald. Dat betekent dat hij minder ernstig is dan de kwetsbaarheden 2.0-beta9 t/m 2.12.1 en 2.13.0 t/m 2.15.0 in eerdere versies van Log4j 2.0. Deze worden nog steeds door versie 2.12.2 en 2.16.0 verholpen.
Het NCSC raadt u aan door te gaan met patchen en hierbij gebruik te maken van de laatste versies die beschikbaar zijn gesteld door Apache. Mocht u inmiddels overgeschakeld zijn naar versie 2.16.0, dan raden wij u aan eerst de versies te updaten waar aanvallers ongewild en op afstand een programmacode op kunnen laten uitvoeren (versies 2.0-beta9 t/m 2.12.1 en 2.13.0 t/m 2.15.0). En pas als u dit heeft afgerond, applicaties te updaten van versie 2.16.0 naar versie 2.17.0.
Voor een overzicht van overige maatregelen die u kunt nemen, verwijzen wij u graag naar het meest actuele handelingsperspectief op onze website: https://www.ncsc.nl/log4j.
Naar verwachting zullen er nog meer kwetsbaarheden in (nieuwe) Log4j versies gevonden worden, gezien de ongekende aandacht die het programma wereldwijd krijgt vanwege de ernst van de eerder genoemde kwetsbaarheden en omdat Log4j in een zeer grote hoeveelheid applicaties is verwerkt. Het NCSC houdt nieuwe ontwikkelingen nauwgezet bij, en zal u hier via deze website over blijven informeren.
Zoals we eerder adviseerden, raden we u aan om alert te blijven en u voor te bereiden op misbruik. Dit blijft noodzakelijk.