donderdag
16
december
2021
Patch uitgebracht om log4j aan te pakken heeft zelf ook een kritieke kwetsbaarheid. Opnieuw patchen dus!
Site Administrator
Afgelopen donderdag hoorde de wereld over een exploitatie van een kritieke code-execution zero-day in Log4J, een hulpprogramma voor logboekregistratie dat wordt gebruikt door zo'n beetje elke cloudservice en elk bedrijfsnetwerk op de planeet. Open-source ontwikkelaars brachten snel een update uit die de fout repareerde en spoorden alle gebruikers aan om deze onmiddellijk te installeren.
Onderzoekers melden nu dat er ten minste twee kwetsbaarheden zitten in de patch, uitgebracht als Log4J 2.15.0, en dat aanvallers actief gebruik maken van een of beide kwetsbaarheden tegen echte doelwitten die de update al hebben toegepast. De onderzoekers dringen er bij organisaties op aan om zo snel mogelijk een nieuwe patch te installeren, uitgebracht als versie 2.16.0, om de kwetsbaarheid te verhelpen, die wordt bijgehouden als CVE-2021-45046.
De eerdere fix, zeiden onderzoekers op dinsdag, "was onvolledig in bepaalde niet-standaard configuraties" en maakte het mogelijk voor aanvallers om denial-of-service-aanvallen uit te voeren, die het meestal gemakkelijk maken om kwetsbare diensten volledig offline te halen totdat slachtoffers hun servers rebooten of andere acties ondernemen. Versie 2.16.0 "lost dit probleem op door ondersteuning voor message lookup patterns te verwijderen en JNDI functionaliteit standaard uit te schakelen", aldus de hierboven vermelde kwetsbaarheidsmelding.
Onderzoekers melden nu dat er ten minste twee kwetsbaarheden zitten in de patch, uitgebracht als Log4J 2.15.0, en dat aanvallers actief gebruik maken van een of beide kwetsbaarheden tegen echte doelwitten die de update al hebben toegepast. De onderzoekers dringen er bij organisaties op aan om zo snel mogelijk een nieuwe patch te installeren, uitgebracht als versie 2.16.0, om de kwetsbaarheid te verhelpen, die wordt bijgehouden als CVE-2021-45046.
De eerdere fix, zeiden onderzoekers op dinsdag, "was onvolledig in bepaalde niet-standaard configuraties" en maakte het mogelijk voor aanvallers om denial-of-service-aanvallen uit te voeren, die het meestal gemakkelijk maken om kwetsbare diensten volledig offline te halen totdat slachtoffers hun servers rebooten of andere acties ondernemen. Versie 2.16.0 "lost dit probleem op door ondersteuning voor message lookup patterns te verwijderen en JNDI functionaliteit standaard uit te schakelen", aldus de hierboven vermelde kwetsbaarheidsmelding.