De log4j-update van vandaag: blijven patchen en updaten

Apache heeft bekend gemaakt dat er een Denial-of-Service-kwetsbaarheid in de afgelopen vrijdag uitgebrachte versie 2.16.0 van Log4j. Daarom is er een update uitgebracht van het eerdere beveiligingsadvies: https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052.

De ernst van deze kwetsbaarheid zou in een normale situatie niet op HIGH/HIGH worden ingeschaald. Dat betekent dat hij minder ernstig is dan de kwetsbaarheden 2.0-beta9 t/m 2.12.1 en 2.13.0 t/m 2.15.0 in eerdere versies van Log4j 2.0. Deze worden nog steeds door versie 2.12.2 en 2.16.0 verholpen.

Het NCSC raadt aan door te gaan met patchen en hierbij gebruik te maken van de laatste versies die beschikbaar zijn gesteld door Apache. Mocht je inmiddels overgeschakeld zijn naar versie 2.16.0, dan raden we aan eerst de versies te updaten waar aanvallers ongewild en op afstand een programmacode op kunnen laten uitvoeren (versies 2.0-beta9 t/m 2.12.1 en 2.13.0 t/m 2.15.0). En pas als dat is afgerond, applicaties te updaten van versie 2.16.0 naar versie 2.17.0.

Naar verwachting zullen er nog meer kwetsbaarheden in (nieuwe) Log4j versies gevonden worden, gezien de ongekende aandacht die het programma wereldwijd krijgt vanwege de ernst van de eerder genoemde kwetsbaarheden en omdat Log4j in een zeer grote hoeveelheid applicaties is verwerkt. Het NCSC houdt nieuwe ontwikkelingen nauwgezet bij, en zal u hier via deze website over blijven informeren.

Zoals we eerder adviseerden, raden we aan om alert te blijven en je voor te bereiden op misbruik. Dat blijft noodzakelijk.