-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in Apache Log4j Advisory ID : NCSC-2021-1094 Versie : 1.00 Kans : low CVE ID : CVE-2021-44832 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high (Remote) code execution (Administrator/Root rechten) Uitgiftedatum : 20211229 Toepassing : Apache Log4j Versie(s) : Alle versies vanaf 2.0-alpha7 tot en met 2.17.0, met uitzondering van 2.3.2 en 2.12.4 Platform(s) : Beschrijving Er is een kwetsbaarheid verholpen in Apache Log4j. De kwetsbaarheid met kenmerk CVE-2021-44832 stelt een kwaadwillende in staat willekeurige code uit te voeren. Om de kwetsbaarheid uit te buiten moet een aanvaller de mogelijkheid hebben een configuratiebestand aan te passen waar de kwetsbare Log4j functionaliteit gebruik van maakt. De aanvaller moet een configuratiebestand wijzigen en daarin een JDBC appender toevoegen waarbij de data-source verwijst naar een malafide JDNI-uri, die als gevolg code kan laten uitvoeren. Ondanks dat er raakvlakken zijn met de kwetsbaarheid met kenmerk CVE-2021-44228 (zoals beschreven in NCSC-2021-1052) is ervoor gekozen om voor deze kwetsbaarheid een nieuw beveiligingsadvies uit te geven, omdat de kwetsbaarheid met kenmerk CVE-2021-44832 minder ernstig is dan de kwetsbaarheden beschreven in NCSC-2021-1052. De inschaling van de kwetsbaarheid met kenmerk CVE-2021-44832 is LOW/HIGH. Deze kwetsbaarheid is ontdekt door securitybedrijf Checkmarx dat een uitgebreidere blogpost heeft geschreven: https://checkmarx.com/blog /cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via- jdbcappender-datasource-element/ Mogelijke oplossingen De ontwikkelaars van Log4j hebben updates uitgebracht om de kwetsbaarheid te verhelpen. Meer informatie kunt u vinden op onderstaande pagina: https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44832 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYcxaNeEs56R4sCd0AQqAuwwAvKxbWc9zF0dREUvHOHfxOxRM+z0bmhla ufdtXBwYsjV9p+4z6i22SGyuIzm9DXNvQhAeazbmOv125yCLgiS5lEkyOnDypkLn W86ad9gMV87YQZr7ec6nq0LdTxfVRG5Jky/r/bF1mWjWx/3aMttLvbjsMFrOiVb8 9P5PgK4nktnMoU3uTU+OFRXlTh0IqbIdRm9tFRwT5q0LH6mx8q8TxLM/CIKhaVsg WZIqrXrzcHwjLz8a6p6zIP2+sorZMX0eO/Do6nGDuZ8FuPhrNMCbnntqepptOsSc ohLw9Krzr/wcJpmjh+N8lT+q1hbYUiHy6eB1kCfoaKSQqJ1UPuUqx1WQjLSKl30e DpHv/GonPINJMQZCm2wjlywPtpFnK4opkSv36WZTemC5NLJLUrkawAjywOOedg0U Go11gZZrvTx1k5azChYto0ep2ql/MOGJtX3fxlmVAUy5dAI9E6uXAKosGEx+Ne8k uWXgQdmqMu35tKQhg5MH5MZpt+ZwwJPJ =PO0R -----END PGP SIGNATURE-----