Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

SURFcert factsheet log4j rce CVE-2021-44228 ('log4shell')

Versie: 1.1516

Datum: gepubliceerd , bijgewerkt 22

Classificatie: TLP:WHITE

Deze factsheet wordt steeds bijgewerkt als er nieuwe informatie beschikbaar komt.

...

Log4j 2.x is kwetsbaar voor remote code execution (CVE-2021-44228) van versie 2.0 tot aan versie 2.14.1. In versie 2.15 is dit aanvankelijk geadresseerd, maar er zijn nieuwe risico's en exploitatiemethoden geïdentificeerd. Deze zijn nog niet aangetoond op alle versies of in de standaard-configuratie, maar vormen wel een groot risico. Versie 2.17.1 schakelt de betreffende functionaliteiten helemaal uit, beschermt daarmee tegen de nu bekende risico's en geeft ook de meeste zekerheid dat er niet nog nieuwe aanvalsvectoren gevonden worden in de functionaliteit.

Log4j 2.17.0 core bevat een RCE indien de aanvaller de configuratie kan wegschrijven. Als dit realistisch is, dan is upgrade naar.217.1 noodzakelijk.

De definitieve oplossing is te upgraden naar 2.17.1 (voor Java 8 en hoger).

Zit je al op versie 2.15? Ook dan blijft upgraden naar 2.17.1 dus urgent.

Voor applicaties die nog Java 7 gebruiken, is log4j versie 2.12.34. Let wel dat Java 7 binnenkort uit vendor support gaat, dus hier zal sowieso een upgrade gepland moeten worden naar Java 8+ en log4j 2.17.1.

Log4j 1.x is niet kwetsbaar voor deze remote code execution. Log4j 1.x wordt echter niet meer onderhouden en er zijn andere issues in bekend. Upgraden naar 2.17.1 of een heel andere logging library is dan ook aan te raden.

...

Voor log4j 2.10.1-2.14.1 werd eerder als mitigatie het inschakelen van de optie log4j2.formatMsgNoLookups gesteld. Deze heeft dezelfde impact als een upgrade naar 2.15, maar lost dus niet de problemen op die 2.15 treffen en in 2.17 opgelost zijn. Vandaar dat deze optie nu niet meer aangeraden wordt. Upgrade naar 2.17.1, of de JndiLookup class verwijderen blijven daarmee over als de enige oplossingen die op dit moment voldoende zekerheid bieden.

...

Upgraden indien non-default configuration
Versie log4jRisicoAdvies
2.17.1(tick) -
2.16 - 2.17(warning) DoS of RCEAanval mogelijk onder bepaalde condities. Upgrade naar 2.17.1 indien dit realistisch is.
2.15(error) RCE en DoSOnmiddellijk upgraden naar 2.17.1 of JndiLookup class verwijderen
2.12.34(tick) -
2.12.2 - 2.12.3(warning) DoS of RCEAanval mogelijk onder bepaalde condities. Upgrade Indien non-default configuration, upgrade naar 2.12.34 indien dit realistisch is.
2.0 - 2.14.1(error) RCE en DoSOnmiddellijk upgraden naar 2.17.1 of JndiLookup class verwijderen
2.10.1 - 2.14.1 met FormatMsgNoLookups-mitigatie(error) RCE en DoSOnmiddellijk upgraden naar 2.17.1 of JndiLookup class verwijderen
1.x(info) Out of supportIndien mogelijk upgraden naar 2.17.1 of andere library

Check op compromise

...