NCSC | Beveiligingsadviezen
Bekijk RSS-feed

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2022-0275

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in AWS patch-oplossingen
Advisory ID     : NCSC-2022-0275
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2021-3100, CVE-2021-3101, CVE-2022-0070,
                  CVE-2022-0071
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
Uitgiftedatum   : 20220420
Toepassing      : AWS
                  Amazon Kubernetes on AWS
Versie(s)       :
Platform(s)     :

Beschrijving
   Er zijn kwetsbaarheden verholpen in verschillende AWS
   patch-oplossingen. Deze patch-oplossingen zijn door AWS uitgebracht
   om te monitoren op Java-applicaties die kwetsbaar zijn voor
   Log4Shell en deze systemen direct te patchen. AWS heeft drie
   hotpatches uitgebracht.
   * Een hotpatch in de vorm van Debian of RPM packages die standaard
   is geinstalleerd met Amazon Linux JDK packages.
   * Een hotpatch voor Kubernetes clusters en Elastic Container
   Services.
   * Hotdog, een hotpatch voor Bottlerocket hosts.
   Deze oplossingen van AWS kunnen gebruikt worden op iedere cloud- of
   on-premise-omgeving.

   De kwetsbaarheden in deze oplossingen stellen een kwaadwillende in
   staat om vanuit een container toegang te verkrijgen tot het
   onderliggende hostsysteem. De patch-oplossing dient dan in gebruik
   te zijn op de server of cluster waar de container op draait.
   Beveiligingsonderzoekers van Unit 42 van Palo Alto heeft de
   kwetsbaarheden ontdekt.

Mogelijke oplossingen
   AWS heeft updates uitgebracht om de kwetsbaarheden te verhelpen. De
   kwetsbaarheden zijn beschikbaar voor de volgende oplossingen:
   * log4j-cve-2021-44228-hotpatch versie 1.1-14
   * kubernetes-log4j-cve-2021-44228-node-agent versie 1.1-14
   * Hotdog

   De kwetsbaarheid in log4j-cve-2021-44228-hotpatch kan worden
   verholpen met behulp van het commando 'yum' of 'apt'. Let hierbij op
   dat sinds 17 december 2021 JDK-packages op Amazon Linux automatisch
   log4j-cve-2021-44228-hotpatch hebben geinstalleerd. Voor de andere
   twee kwetsbare oplossingen dient een update te worden gedownload om
   deze vervolgens handmatig te installeren. Voor meer informatie, zie:

   Kubernetes:
   https://github.com/aws-samples
      /kubernetes-log4j-cve-2021-44228-node-agent

   Hotdog:
   https://github.com/bottlerocket-os/hotdog/releases

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=bF1J
-----END PGP SIGNATURE-----