Nieuwe patch voor vermeend nieuw Log4j-gat
De deze week geuite claim van een nieuwe kwetsbaarheid in Log4j heeft geleid tot een nieuwe patch voor die loggingtool. De nieuwe release is nu beschikbaar, maar er leeft twijfel over de noodzaak tot snel patchen. De kwetsbaarheid die aanvallers de mogelijkheid geeft om eigen code op afstand uit te voeren (remote code execution, RCE), heeft namelijk een opvallende randvoorwaarde.
De deze week geuite claim van een nieuwe kwetsbaarheid in Log4j heeft geleid tot een nieuwe patch voor die loggingtool. De nieuwe release is nu beschikbaar, maar er leeft twijfel over de noodzaak tot snel patchen. De kwetsbaarheid die aanvallers de mogelijkheid geeft om eigen code op afstand uit te voeren (remote code execution, RCE), heeft namelijk een opvallende randvoorwaarde.
Wel of niet ernstig
Online is er een discussie opgelaaid over de validiteit van de nieuwe RCE-kwetsbaarheid. Deze discussie betreft ook de noodzaak van snel toepassen van de nieuwste Log4j-patches. Voor misbruik van de door Nizry ontdekte bug moet een aanvaller namelijk al rechten hebben voor het wijzigen van een Log4j-configuratiebestand.
Vergaande hack
Kritische securitykenners merken op dat als een onbevoegde zulke rechten heeft er dan überhaupt al sprake is van een vergaande hack. Voor deze RCE om een systeem te compromitteren moet dus eerst het systeem gecompromitteerd zijn, zo luidt de kritiek. AG Connect heeft vragen hierover uitgezet bij de betrokken partijen en personen.
Oudere reeksen
Naast de .1-release voor de nieuwste 2.17-reeks van Log4j hebben de opensource-ontwikkelaars van de inmiddels beruchte loggingtool ook updates uitgebracht voor twee oudere reeksen. De releases 2.12.4 en 2.3.2 zijn voor organisaties die de loggingtool draaien op respectievelijk Java 7 en Java 6. Sinds de ontdekking van de eerste kritieke RCE-kwetsbaarheid in Log4j drie weken terug zijn die oudere reeksen ook al voorzien van updates.
Bevestigen of ontkennen
Log4j valt onder de opensourcestichting Apache Foundation. In een eerste reactie aan AG Connect heeft een lid van het Apache Logging Services-projectteam dinsdagavond aangegeven dat er gewacht moest worden op de 2.17.1-release. Vóór het publiek worden van die - toen officieel nog niet bekende - versie kon de opensourcestichting de kwestie van de geclaimde RCE-kwetsbaarheid niet bevestigen of ontkennen.
Reacties van betrokkenen
Enkele uren na het verklappen van die aanstaande nieuwe release is versie 2.17.1 uitgebracht. De korte reply van teamlid Matt Sicker geeft AG Connect nog een compliment voor het verrichte 'detectivewerk'. De security-onderzoeker die dinsdagmiddag claimde een nieuw RCE-gat te hebben gevonden en gemeld, deed dat met een screenshot van een mailreply die afkomstig was van 'MS'. AG Connect heeft Sicker en een collega met dezelfde initialen getraceerd en gecontacteerd.
Veel stress
Ontdekker Yaniv Nizry en zijn werkgever Checkmarx hebben gereageerd op vragen van AG Connect. De security-onderzoeker bevestigt zijn claim én het CVE-nummer dat op social media gisteravond al werd genoemd als gereserveerd voor dit nieuwe probleem in Log4j. 'Je kunt je voorstellen dat er veel stress hierover was', antwoordt Nizry op vragen over de kwetsbaarheid en een fix daarvoor.
Technische blogpost
'CVE-2021-44832en een gefixte versie zijn uitgebracht. Details hier: https://logging.apache.org/log4j/2.x/security.html. Een technische blogpost komt binnenkort', laat Nizry weten. Zijn werkgever, het Israëlische securitybedrijf Checkmarx, laat via de woordvoering weten dat de beloofde blogpost nu live staat.
De oorspronkelijke versie van dit bericht komt van AG Connect en is bijgewerkt door de redactie van Binnenlands Bestuur.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.