Toen Amazon een oplossing uitbracht om de zwakke plekken in Log4j op AWS te patchen, maakte het daarbij aanpassingen die voor nieuwe kwetsbaarheden zorgen. Ook daar is nu een patch voor.
Log4j is een klein stukje open source software dat op veel plaatsen wordt gebruikt. In december raakte bekend dat er een zwakke plek in zat waardoor heel wat systemen wereldwijd snel een update moesten krijgen.
Ook Amazon deed dat voor haar AWS cloudomgeving, maar daarbij zijn per ongeluk andere veiligheidsproblemen ontstaan. Concreet is sinds de Log4j patch mogelijk om uit een container te geraken en roottoegang op de onderliggende server te krijgen. Op die manier krijgt een hacker bijvoorbeeld toegang tot andere containers en de apps die daarop draaien.
De nieuwe kwetsbaarheden krijgen de codes
CVE-2021-3100,
CVE-2021-3101,
CVE-2022-0070 en
CVE-2022-0071 mee. Amazon raadt aan om ze zo snel mogelijk te installeren gezien het risico. De problemen werden ontdekt door Unit 24, een afdeling van Palo Alto Networks, die de werking ervan ook in een video aantonen.