Beheer

Security
patch

Nieuwe patch voor geclaimd nieuw gat in Log4j

Vierde update in drie weken voor loggingtool Log4j, mét nu discussie over 'RCE-gat'.

29 december 2021

Vierde update in drie weken voor loggingtool Log4j, mét nu discussie over 'RCE-gat'.

De gisteren geuite claim van een nieuwe kwetsbaarheid in Log4j heeft geleid tot een nieuwe patch voor die loggingtool. Release 2.17.1 is nu beschikbaar, maar er leeft twijfel over de noodzaak tot snel patchen. De kwetsbaarheid die aanvallers de mogelijkheid geeft om eigen code op afstand uit te voeren (remote code execution, RCE), heeft namelijk een opvallende randvoorwaarde.

Log4j valt onder de opensourcestichting Apache Foundation. In een eerste reactie aan AG Connect heeft een lid van het Apache Logging Services-projectteam gisteravond aangegeven dat er gewacht moest worden op de 2.17.1-release. Vóór het publiek worden van die - toen officieel nog niet bekende - versie kan de opensourcestichting de kwestie van de geclaimde RCE-kwetsbaarheid niet bevestigen of ontkennen.

Reacties van betrokkenen

Enkele uren na het verklappen van die aanstaande nieuwe release is versie 2.17.1 uitgebracht. De korte reply van teamlid Matt Sicker geeft AG Connect nog een compliment voor het verrichte 'detectivewerk'. De security-onderzoeker die gistermiddag claimde een nieuw RCE-gat te hebben gevonden en gemeld, deed dat met een screenshot van een mailreply die afkomstig was van 'MS'. AG Connect heeft Sicker en een collega met dezelfde initialen getraceerd en gecontacteerd.

Ontdekker Yaniv Nizry en zijn werkgever Checkmarx hebben ook nog gereageerd op vragen van AG Connect. De security-onderzoeker bevestigt zijn claim én het CVE-nummer dat op social media gisteravond al werd genoemd als gereserveerd voor dit nieuwe probleem in Log4j. "Je kunt je voorstellen dat er veel stress hierover was", antwoordt Nizry op vragen over de kwetsbaarheid en een fix daarvoor.

Beloofde blogpost

"CVE-2021-44832en een gefixte versie zijn uitgebracht. Details hier: https://logging.apache.org/log4j/2.x/security.html. Een technische blogpost komt binnenkort", laat Nizry weten aan AG Connect Zijn werkgever, het Israëlische securitybedrijf Checkmarx, laat via de woordvoering weten dat de beloofde blogpost nu live staat.

Naast de .1-release voor de nieuwste 2.17-reeks van Log4j hebben de opensource-ontwikkelaars van de inmiddels beruchte loggingtool ook updates uitgebracht voor twee oudere reeksen. De releases 2.12.4 en 2.3.2 zijn voor organisaties die de loggingtool draaien op respectievelijk Java 7 en Java 6. Sinds de ontdekking van de eerste kritieke RCE-kwetsbaarheid in Log4j drie weken terug zijn die oudere reeksen ook al voorzien van updates.

Wel/niet valide en wel/niet ernstig

Ondertussen is er online nu discussie opgelaaid over de validiteit van de nieuwe RCE-kwetsbaarheid. Deze discussie betreft ook de noodzaak van snel toepassen van de nieuwste Log4j-patches. Voor misbruik van de door Nizry ontdekte bug moet een aanvaller namelijk al rechten hebben voor het wijzigen van een Log4j-configuratiebestand.

Kritische securitykenners merken op dat als een onbevoegde zulke rechten heeft er dan überhaupt al sprake is van een vergaande hack. Voor deze RCE om een systeem te compromitteren moet dus eerst het systeem gecompromitteerd zijn, zo luidt de kritiek. AG Connect heeft vragen hierover uitgezet bij de betrokken partijen en personen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.