In Apache Log4j is een nieuwe kwetsbaarheid gevonden waardoor het mogelijk is om denial of service (dos)-aanvallen uit te voeren tegen servers waarop Log4j draait. Afgelopen maandag verscheen er al een beveiligingsupdate voor de kwetsbaarheid (CVE-2021-45046), waarvan de impact veel kleiner is dan het beveiligingslek (CVE-2021-44228) dat vorige week uitgebreid in het nieuws kwam en aanvallers de controle over kwetsbare servers kan geven.
Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 3,7 beoordeeld en is aanwezig in alle Log4j-versies van 2.0-beta9 tot en met 2.12.1 en 2.13.0 tot en met 2.15.0.
Beheerders wordt aangeraden om te updaten naar Log4j versie 2.12.2 of 2.16.0 die afgelopen maandag verscheen. In Log4j 2.16.0 staat toegang tot de Java Naming and Directory Interface (JNDI) API standaard aangeschakeld en moeten JNDI-lookups expliciet worden ingeschakeld. Verder is de message lookups feature volledig verwijderd en is de toegang tot protocollen standaard beperkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.