Op 9 december 2021 werd bekend dat er een ernstige kwetsbaarheid is aangetroffen in de veelgebruikte opensource Apache Log4j-tool. De kwetsbaarheid heeft CVE-identifier CVE-2021-44228 en staat ook bekend als Log4Shell.
De kwetsbaarheid die aangetroffen is zorgt ervoor dat het mogelijk is op afstand code in software uit kunnen voeren met rechten van een bovenliggende applicatie. De bovenliggende applicatie is in dit geval de applicatie die gebruikmaakt van Log4j, waardoor niet in te schatten is welke rechten deze bovenliggende applicatie heeft. Het NCSC heeft de impact mede daarom ingeschaald op hoog en de eerste meldingen van actief misbruik zijn al gezien.
Het NCSC heeft een overzicht van kwetsbare software gemaakt die zij doorlopend bijwerken; houd deze pagina de komende periode dus goed in de gaten.
https://www.ncsc.nl/actueel/nieuws/2021/december/12/kwetsbare-log4j-applicaties-en-te-nemen-stappen
Een duidelijke uitleg over de Log4J problemen staat hier op security.nl
Hoewel IBANC is ontwikkeld in Java, wordt in de IBANC softwaredistributie zoals deze aan onze klanten geleverd wordt de genoemde softwarebibliotheek (Apache Log4j) niet gebruikt. Derhalve heeft genoemd beveiligingslek geen impact op het IBANC product.
De kwetsbaarheid die aangetroffen is zorgt ervoor dat het mogelijk is op afstand code in software uit kunnen voeren met rechten van een bovenliggende applicatie. De bovenliggende applicatie is in dit geval de applicatie die gebruikmaakt van Log4j, waardoor niet in te schatten is welke rechten deze bovenliggende applicatie heeft. Het NCSC heeft de impact mede daarom ingeschaald op hoog en de eerste meldingen van actief misbruik zijn al gezien.
Het NCSC heeft een overzicht van kwetsbare software gemaakt die zij doorlopend bijwerken; houd deze pagina de komende periode dus goed in de gaten.
https://www.ncsc.nl/actueel/nieuws/2021/december/12/kwetsbare-log4j-applicaties-en-te-nemen-stappen
Een duidelijke uitleg over de Log4J problemen staat hier op security.nl
Hoewel IBANC is ontwikkeld in Java, wordt in de IBANC softwaredistributie zoals deze aan onze klanten geleverd wordt de genoemde softwarebibliotheek (Apache Log4j) niet gebruikt. Derhalve heeft genoemd beveiligingslek geen impact op het IBANC product.