Nieuwe lek in Log4j maakt op afstand code uitvoeren mogelijk
Opnieuw is een kwetsbaarheid in Log4j ontdekt. Het beveiligingsprobleem maakt het mogelijk op afstand code uit te voeren op kwetsbare systemen. Een patch is beschikbaar.
Het probleem is verholpen in Log4j 2.17.1, meldt Apache Software Foundation. Het lek dat is ontdekt is geïdentificeerd als CVE-2021-44832. De impact wordt beoordeeld op 6.6. Het lek is aanwezig in Log4j2 versies 2.0-beta7 tot en met 2.17.0, met uitzondering van 2.3.2 en 2.12.4. De kwetsbaarheid stelt aanvallers in staat het log-configuratiebestand aan te passen en via een malafide configuratie te verwijzen naar een Java Naming and Directory Interface (JNDI) URI die code uitvoert.
Apache Software Foundation adviseert gebruikers zo snel mogelijk te updaten naar Log4j 2.3.2 (Java 6), 2.12.4 (Java 7) of 2.17.1 (Java 8 en nieuwer)
Meer over Software
Over Wouter Hoeffnagel
