Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Het is inmiddels twee jaar geleden dat een kritieke kwetsbaarheid in de populaire open source Apache Log4j 2-library voor wereldwijde aandacht zorgde. Twee jaar verder blijkt dat bijna veertig procent van de Log4j-applicaties een kwetsbare versie van de library gebruikt. Dat stelt securitybedrijf Veracode op basis van eigen onderzoek.

Log4j 2 is een tool voor het loggen van informatie van Java-applicaties. Zo kunnen ontwikkelaars, door de library aan hun Java-applicatie toe te voegen, bijvoorbeeld problemen met de applicatie ontdekken. Een kwetsbaarheid zorgde ervoor dat wanneer de library een bepaalde string logt een aanvaller willekeurige code kan uitvoeren en zo controle over de applicatieserver kan krijgen.

De kwetsbaarheid, aangeduid als CVE-2021-44228 en Log4Shell, zorgde vanwege de impact en het wijdverbreide gebruik van de software voor zorgen over grootschalig misbruik. Zo vreesde het ministerie van Volksgezondheid voor grote uitval in de zorgsector door het Log4j-lek. De omvang van het daadwerkelijke misbruik bleek later mee te vallen. Toch liet Log4Shell het risico van third-party code binnen applicaties zien en hoe belangrijk het is dat softwareontwikkelaars dergelijke componenten up-to-date houden.

Veracode analyseerde meer dan 38.000 applicaties die van Log4j gebruikmaken. Bijna drie procent blijkt een versie te gebruiken waarin het oorspronkelijk Log4Shell-lek in aanwezig is. Verder draait bijna vier procent van de onderzochte applicaties Log4j2 versie 2.17.0. Deze versie bevat een beveiligingslek dat remote code execution mogelijk maakt. Tevens blijkt 32 procent van de applicaties gebruik te maken van Log4j2 versie 1.2.x. Deze versie is sinds augustus 2015 end-of-life en ontvangt geen updates meer. In deze versie zijn echter meerdere kritieke kwetsbaarheden gevonden die nog altijd ongepatcht zijn.

"Het grotere verhaal op de tweede verjaardag is dat er nog steeds ruimte voor verbetering is wanneer het aankomt op de security van opensourcesoftware. Als Log4Shell weer een voorbeeld was van een lange reeks wake-up calls om strengere open source security practices toe te passen, laat het feit dat één op de drie applicaties een kwetsbare versie van Log4j draait dat er nog veel meer werk is te doen", aldus Veracode.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.