Ook Google komt met open source Log4j-scanner
In navolging van een scantool van vrijwilligersorganisatie DIVD en securitymonitoringbedrijf DTACT komt nu ook Google met een gratis scantool voor Log4j. Deze is open source beschikbaar gesteld op Github. Dat meldt een beveiligingsonderzoeker van het bedrijf.
Met de scantool wordt het mogelijk om ICT-omgevingen af te struinen om te controleren of er sprake is van kwetsbare versies van Log4j. De scantool van Google detecteert kwetsbare bestanden en herschrijft ze.
Eerder ontwikkelden vrijwilligersorganisatie DIVD en securitymonitoringbedrijf DTACT al een gratis scanner voor Log4J, die eveneens op ontwikkelaarsplatform GitHub te vinden is. De eerste versie werd in een nog zeer vroeg ontwikkelstadium naar buiten gebracht. Inmiddels heeft deze een nieuwe versie gekregen.
Veel ICT-producten
Log4j zit in veel ICT-producten. Doordat de loggingtool input van buitenaf accepteert en niet goed filtert, kunnen kwaadwillenden op afstand eigen code uitvoeren op systemen waar die Java-tool draait. Dit kunnen ook serverapplicaties en hardware-appliances van derden zijn, want veel commerciële ICT-leveranciers hebben Log4j omarmd en opgenomen in hun producten.
Het Nationaal Cyber Security Centre (NCSC) deelde eerder een lijst van software die kwetsbaar is voor het grote Log4Shell-beveiligingsgat waarlangs systemen zijn over te nemen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee