Tijdens het webinar heeft het NCSC gecommuniceerd dat er onduidelijkheid was over de effectiviteit van gepubliceerde patches voor Apache Log4j. Deze onduidelijkheid nemen wij met dit bericht graag weg. De (remote) code execution kwetsbaarheid, waarover het NCSC in beveiligingsadvies NCSC-2021-1052 heeft geadviseerd, is volgens Apache in zowel versie 2.15 als versie 2.16 van Log4j verholpen. Apache geeft wel aan dat Log4j versie 2.15 een Denial-of-Service (DoS) kwetsbaarheid bevat (CVE-2021-45046). Het NCSC beschikt nu niet over informatie die de berichtgeving van Apache hierover in twijfel trekt.
Updaten
Het NCSC adviseert organisaties dringend te updaten naar een recente versie van Log4j.
* Heeft u versie 2.14 of ouder? Dan adviseert het NCSC zo snel mogelijk te updaten naar versie 2.17.
* Heeft u recent geüpdatet naar versie 2.15 of 2.16? Dan adviseert het NCSC om indien mogelijk te updaten naar versie 2.17.
Het beveiligingsadvies (NCSC-2021-1052) is geüpdatet met de meest recente informatie en adviezen.
Nog steeds misbruik
Het NCSC ontvangt nog altijd berichten van beperkt actief misbruik. Voor het meest actuele handelingsperspectief kunt u terecht op de NCSC website. Het handelingsperspectief wordt actief bijgehouden en wij adviseren u de laatste versie geregeld te raadplegen.
Op GitHub vindt u een lijst met kwetsbare producten. NCSC heeft nationale en internationale partners, organisaties en bedrijven dringend gevraagd aanvullende informatie te delen. Dit wordt tot nu toe massaal gedaan. Het NCSC is trots dat het zicht op kwetsbare producten iedere dag verbetert en bedankt iedereen die hieraan heeft bijgedragen. Wel blijven ze benadrukken dat ondanks dat de lijst snel groeit, er naar verwachting nog steeds veel kwetsbare producten zijn die momenteel bij ons nog onbekend zijn.
Webinar terugkijken
Het webinar van NCSC, Digital Trust Center en CSIRT-DSP, over de kwetsbaarheden in de Log4j software, kunt in nu in zijn geheel terugkijken.
Kijk het webinar terug