GX Support
Nederlands English (US)

Artikelen in deze sectie

Zie meer

CVE-2021-44832

Avatar
Remco de Waard
  • Bijgewerkt
Volgen

Laatste nieuws (16:46)

Achtergrond

Er is een melding binnen gekomen van een kwetsbaarheid ontdekt in Log4j. Deze kwetsbaarheid kan in sommige gevallen het uitvoeren van externe code mogelijk maken. Om dit probleem op te lossen heeft de Apache Software Foundation een beveiligingsupdate uitgebracht, genaamd Log4j 2.17.1. Ze noemen dit probleem ook wel CVE-2021-44832.
Impact
De ernst van deze kwetsbaarheid geldt voor XperienCentral als lager dan eerdere kwetsbaarheden in Log4j waarbij externe code werd uitgevoerd, omdat een aanvaller toegang moet hebben tot het configuratiebestand. Apache zelf geeft het issue een lage classificering (https://solr.apache.org/security.html).
Technische details
XperienCentral maakt gebruik van een externe JAR (log4j-core-2.16.0.jar). Deze JAR bevat een kwetsbaarheid.

-Tijdlijn-

16 mei 2023, 14:22 uur

Melding ontvangen. Eerste melder geïnformeerd over het gestarte onderzoek vanuit Product, Systeembeheer, Consultancy, Data Protection Officer en Customer Services. GX Software onderzoekt de impact van de melding en of deze van impact is op XperienCentral. 

14:32

Systeembeheer en Solutions Architects geïnformeerd voor triage. Management geïnformeerd.

14:35

Start van dit artikel in het Engels en Nederlands. Via deze pagina houden we je op de hoogte van ons onderzoek, resultaten, aanbevelingen en handelingen.

15:12 

Opschalen naar Productgroep en Business Architects.

15:20

Het is nog onbekend of deze kwetsbaarheid van impact is voor XperienCentral. Zodra hier meer over bekend is, komt inhoudelijke informatie op deze plek.

15:35

We constateren dat de kwetsbaarheid geïntroduceerd is door de zoekmachine (genaamd SOLR). SOLR 8.11.1 wordt meegeleverd en SOLR geeft zelf aan dat de kwetsbaarheid niet te misbruiken valt  (https://solr.apache.org/security.html). De prioriteit is daarmee van het issue licht gedaald. 

15:38 - misbruik onmogelijk

Toen Log4J bekendheid kreeg, is al uitgezocht dat de kwetsbare 2.16.0. geen kwaad kon. Het misbruiken ervan is in XperienCentral niet mogelijk, doordat Log4J binnen SOLR op een alternatieve manier wordt toegepast (die misbruik voorkomt).

16:44 - conclusie

XperienCentral is niet kwetsbaar voor CVE-2021-44832. Tijdens de implementatie van Log4J in XperienCental zijn er keuzes gemaakt die ertoe leidde dat de kwetsbaarheid XperienCental niet raakt. Daarentegen kunnen we het ons voorstellen dat er organisaties zijn die graag voor de zekerheid hun Productie-installatie gepatcht willen hebben. Dat is mogelijk.

Patch

Het plaatsen van de patch brengt geen risico's met zich mee. Mocht je hier interesse naar hebben, neem dan contact op met GX Customer Services of een andere willekeurige GX-er die je binnenkort spreekt. Onze mensen helpen je er graag mee.

Upgrade

In onze recente release (op moment van schrijven is dit (R40) is ervoor gezorgd dat een aangepaste versie van SOLR wordt gebruikt zodat dit issue zich op geen enkele manier kan manifesteren. Ook hiervoor geldt; als je wil updaten, neem dan contact op met Customer Services of een andere willekeurige GX-er die je binnenkort spreekt.

Hierbij sluiten we ook dit live-blog. Heb je desondanks nog informatie van GX nodig, neem dan contact op met Customer Services.

Verwante artikelen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.