-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheid verholpen in Apache Log4j
Advisory ID : NCSC-2021-1094
Versie : 1.00
Kans : low
CVE ID : CVE-2021-44832
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20211229
Toepassing : Apache Log4j
Versie(s) : Alle versies vanaf 2.0-alpha7 tot en met 2.17.0, met
uitzondering van 2.3.2 en 2.12.4
Platform(s) :
Beschrijving
Er is een kwetsbaarheid verholpen in Apache Log4j. De kwetsbaarheid
met kenmerk CVE-2021-44832 stelt een kwaadwillende in staat
willekeurige code uit te voeren. Om de kwetsbaarheid uit te buiten
moet een aanvaller de mogelijkheid hebben een configuratiebestand
aan te passen waar de kwetsbare Log4j functionaliteit gebruik van
maakt. De aanvaller moet een configuratiebestand wijzigen en daarin
een JDBC appender toevoegen waarbij de data-source verwijst naar een
malafide JDNI-uri, die als gevolg code kan laten uitvoeren.
Ondanks dat er raakvlakken zijn met de kwetsbaarheid met kenmerk
CVE-2021-44228 (zoals beschreven in NCSC-2021-1052) is ervoor
gekozen om voor deze kwetsbaarheid een nieuw beveiligingsadvies uit
te geven, omdat de kwetsbaarheid met kenmerk CVE-2021-44832 minder
ernstig is dan de kwetsbaarheden beschreven in NCSC-2021-1052. De
inschaling van de kwetsbaarheid met kenmerk CVE-2021-44832 is
LOW/HIGH.
Deze kwetsbaarheid is ontdekt door securitybedrijf Checkmarx dat een
uitgebreidere blogpost heeft geschreven:
https://checkmarx.com/blog
/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-
jdbcappender-datasource-element/
Mogelijke oplossingen
De ontwikkelaars van Log4j hebben updates uitgebracht om de
kwetsbaarheid te verhelpen. Meer informatie kunt u vinden op
onderstaande pagina:
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44832
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
wsDVAwUBYcxaNeEs56R4sCd0AQqAuwwAvKxbWc9zF0dREUvHOHfxOxRM+z0bmhla
ufdtXBwYsjV9p+4z6i22SGyuIzm9DXNvQhAeazbmOv125yCLgiS5lEkyOnDypkLn
W86ad9gMV87YQZr7ec6nq0LdTxfVRG5Jky/r/bF1mWjWx/3aMttLvbjsMFrOiVb8
9P5PgK4nktnMoU3uTU+OFRXlTh0IqbIdRm9tFRwT5q0LH6mx8q8TxLM/CIKhaVsg
WZIqrXrzcHwjLz8a6p6zIP2+sorZMX0eO/Do6nGDuZ8FuPhrNMCbnntqepptOsSc
ohLw9Krzr/wcJpmjh+N8lT+q1hbYUiHy6eB1kCfoaKSQqJ1UPuUqx1WQjLSKl30e
DpHv/GonPINJMQZCm2wjlywPtpFnK4opkSv36WZTemC5NLJLUrkawAjywOOedg0U
Go11gZZrvTx1k5azChYto0ep2ql/MOGJtX3fxlmVAUy5dAI9E6uXAKosGEx+Ne8k
uWXgQdmqMu35tKQhg5MH5MZpt+ZwwJPJ
=PO0R
-----END PGP SIGNATURE-----
