In Apache Log4j is een nieuw beveiligingslek ontdekt. Hiermee kunnen Denial of Service (DoS)-aanvallen uitgevoerd worden tegen servers waarop Log4j draait.
Ontoereikend
Afgelopen maandag is al een patch ter beschikking gesteld voor de kwetsbaarheid CVE-2021-45046. De impact daarvan is veel kleiner dan de kwetsbaarheid CVE-2021-44228 die eerder aan het licht kwam en die kwaadwillenden controle over kwetsbare servers kan verschaffen. Volgens de Apache Software Foundation was de patch voor het beveiligingslek CVE-2021-44228 in bepaalde niet-standaard configuraties ontoereikend. Kwaadwillenden met controle over bepaalde invoergegevens zouden daarmee Denial of Service (DOS)-aanvallen kunnen veroorzaken.
Impact
De impact van de kwetsbaarheid is 3,7 op een schaal van 1 tot en met 10. Het lek bevindt zich in Log4j-versies van 2.0-beta9 tot en met 2.12.1 en in versies 2.13.0 tot en met 2.15.0. Beheerders krijgen het advies om te updaten naar Log4j versie 2.12.2 of 2.16.0 die afgelopen maandag uitkwam. Toegang tot de Java Naming and Directory Interface (JNDI) API staat standaard aan in Log4j 2.16.0. JNDI-lookups dienen expliciet ingeschakeld te worden. De message lookups feature is volledig verwijderd. Tevens is de toegang tot protocollen standaard beperkt.