Versie: 1.1516
Datum: gepubliceerd , bijgewerkt 22
Classificatie: TLP:WHITE
Deze factsheet wordt steeds bijgewerkt als er nieuwe informatie beschikbaar komt.
...
Log4j 2.x is kwetsbaar voor remote code execution (CVE-2021-44228) van versie 2.0 tot aan versie 2.14.1. In versie 2.15 is dit aanvankelijk geadresseerd, maar er zijn nieuwe risico's en exploitatiemethoden geïdentificeerd. Deze zijn nog niet aangetoond op alle versies of in de standaard-configuratie, maar vormen wel een groot risico. Versie 2.17.1 schakelt de betreffende functionaliteiten helemaal uit, beschermt daarmee tegen de nu bekende risico's en geeft ook de meeste zekerheid dat er niet nog nieuwe aanvalsvectoren gevonden worden in de functionaliteit.
Log4j 2.17.0 core bevat een RCE indien de aanvaller de configuratie kan wegschrijven. Als dit realistisch is, dan is upgrade naar.217.1 noodzakelijk.
De definitieve oplossing is te upgraden naar 2.17.1 (voor Java 8 en hoger).
Zit je al op versie 2.15? Ook dan blijft upgraden naar 2.17.1 dus urgent.
Voor applicaties die nog Java 7 gebruiken, is log4j versie 2.12.34. Let wel dat Java 7 binnenkort uit vendor support gaat, dus hier zal sowieso een upgrade gepland moeten worden naar Java 8+ en log4j 2.17.1.
Log4j 1.x is niet kwetsbaar voor deze remote code execution. Log4j 1.x wordt echter niet meer onderhouden en er zijn andere issues in bekend. Upgraden naar 2.17.1 of een heel andere logging library is dan ook aan te raden.
...
Voor log4j 2.10.1-2.14.1 werd eerder als mitigatie het inschakelen van de optie log4j2.formatMsgNoLookups
gesteld. Deze heeft dezelfde impact als een upgrade naar 2.15, maar lost dus niet de problemen op die 2.15 treffen en in 2.17 opgelost zijn. Vandaar dat deze optie nu niet meer aangeraden wordt. Upgrade naar 2.17.1, of de JndiLookup class verwijderen blijven daarmee over als de enige oplossingen die op dit moment voldoende zekerheid bieden.
...
Versie log4j | Risico | Advies | ||
---|---|---|---|---|
2.17.1 | - | |||
2.16 - 2.17 | DoS | Upgradenof RCE | Aanval mogelijk onder bepaalde condities. Upgrade naar 2.17 | indien non-default configuration.1 indien dit realistisch is. |
2.15 | RCE en DoS | Onmiddellijk upgraden naar 2.17.1 of JndiLookup class verwijderen | ||
2.12.34 | - | |||
2.12.2 - 2.12.3 | DoS of RCE | Aanval mogelijk onder bepaalde condities. Upgrade Indien non-default configuration, upgrade naar 2.12.34 indien dit realistisch is. | ||
2.0 - 2.14.1 | RCE en DoS | Onmiddellijk upgraden naar 2.17.1 of JndiLookup class verwijderen | ||
2.10.1 - 2.14.1 met FormatMsgNoLookups-mitigatie | RCE en DoS | Onmiddellijk upgraden naar 2.17.1 of JndiLookup class verwijderen | ||
1.x | Out of support | Indien mogelijk upgraden naar 2.17.1 of andere library |
...