GX Support
Nederlands English (US)

Artikelen in deze sectie

Zie meer

Kwetsbaarheid in Log4j (Log4Shell)

Avatar
Remco de Waard
  • Bijgewerkt
Volgen

Samenvatting van onderstaande: 

Analyse standaard productcode en maatwerk is afgerond. GX heeft bevonden dat noch maatwerk, noch standaardprogrammatuur vatbaar is voor de kwetsbaarheid zoals gemeld met het kenmerk: Log4Shell / Log4J.

Veiligheid van de software heeft bij GX de hoogste prioriteit. De recente melding over de kwetsbaarheid die in Log4j op vrijdag 10 december geconstateerd is heeft onze productgroep dan ook vlot bereikt. Vanaf dat moment startte we de controle of er impact voor XperienCentral was en, indien dat het geval is, op welke manier we zo snel mogelijk ondersteuning kunnen bieden. 

Updates volgen op deze pagina en vragen zijn te stellen via het gebruikelijke kanaal van Customer Services

Achtergrond

Er is een kwetsbaarheid gesignaleerd in de "Apache Log4j-tool". Dit is software die je kunt gebruiken om logbestanden van applicaties bij te houden. Zo'n logging-tool produceert bijvoorbeeld meldingen als: "gebruiker X probeert om 11:34 afbeelding Y te laden maar de afbeelding kan niet gevonden worden". Het nut hiervan is om te kunnen controleren waar een fout zit op het moment dat er zich een foutmelding voordoet. (de tool Log4j op Wikipedia).  

Het lek valt te misbruiken wanneer een kwaadwillende een bepaalde code naar een website verstuurt door bijvoorbeeld die code in te voeren in een tekstveld, zoals (maar niet uitsluitend) een chatvenster. Die code wordt door Log4j vervolgens gelogd en eveneens uitgevoerd. Op die manier kan een kwaadwillende toegang krijgen tot de website. Uiteraard is dat niet de bedoeling.  (de kwetsbaarheid Log4Shell op Wikipedia)

Update maandag 13 december 11:19

Uit de resultaten van een eerste inventarisatie bleek een voorlopige conclusie: XperienCentral zelf lijkt niet kwetsbaar. Ons productteam, architecten en Customer Services zijn de kwetsbaarheid dieper aan het onderzoeken en we verwachten later vandaag met een formele uitspraak te komen. We richten ons nu op specifiek ontwikkeld maatwerk. Vooralsnog zijn er geen aanwijzingen dat XperienCentral zelf kwetsbaar is. Technische details volgen.

Update 11:45

Vanuit Customer Services volgt een bericht naar alle organisaties waarin verwezen wordt naar deze pagina. Ter voorkoming dat er veel e-mailverkeer gaat ontstaan, plaatsen we updates op deze portal.

Update 14:55

XperienCentral is zorgvuldig onderzocht en we concluderen dat XperienCentral (inclusief add-ons) geen van de kwetsbare versies van Log4j gebruikt en ook niet meegeleverd worden. Ook niet via zogenaamde "dependencies".

De zoekmachine die XperienCentral gebruikt, Solr genaamd, benut wel een oudere versie van Log4j. Deze specifieke versie staat niet aangemerkt als kwetsbare versie. Wat we wel zien, is dat deze genoemd staat in de Redhat Customer Portal (https://access.redhat.com/security/cve/CVE-2021-4104) en die situatie geldt voor een zeer specifieke configuratie. Er is onderzocht of dit een probleem kan vormen en dat is niet het geval. 

Intussen is het ook duidelijk dat de kwetsbaarheid (zoals deze nu bekend gemaakt is) niet opgaat voor recente(re) Java-versies, te weten:

  • Voor Java 8 zijn versies vanaf update 191 (16-10-2018) veilig;
  • Voor Java 11 vanaf versie 11.0.1 (ook 16-10-2018).

Update 15:03

Het product XperienCentral, inclusief de standaard meegeleverde add-ons, is veilig voor de Log4j-kwetsbaarheid. Dit is onderzocht op basis van de tot nu bekende "attack vectors" (en andere officiële informatie die op het moment van schrijven beschikbaar is). Vanzelfsprekend blijven we de komende tijd de berichtgeving volgen.

Log4j wordt niet gebruikt voor de logging in XperienCentral. Het wordt wel gebruikt door een van de open source projecten waar XC gebruik van maakt. Dit project is alleen kwetsbaar met een specifieke configuratie; XC maakt geen gebruik van deze configuratie en is daarmee veilig.

Update 15:25

Nu we weten dat XperienCentral zelf geen kwetsbare versie van Log4j gebruikt, verschuiven we onze aandacht direct naar ontwikkeld maatwerk. We zijn bezig om alle maatwerkcomponenten (gemaakt door GX Software) voor alle organisaties door te nemen. Dit is een grondig proces maar verloopt spoedig. Er zijn op dit moment nog geen kwetsbare componenten gevonden.

Als er gebruik wordt gemaakt van een verouderde Java-versie raden wij aan om deze te upgraden als preventieve maatregel. Java 8 en Java 11 updates v/a 16 oktober 2018 zijn beveiligd tegen de Log4j attack. Voor Java 8 is dat update 191 en voor Java 11 versie 11.0.1 of hoger.

Update 14 december 09:43

De overgrote meerderheid van het (door GX) ontwikkelde maatwerk is onderzocht. De kwetsbaarheid is tot op heden niet aangetroffen. We verwachten rond de middag uitsluitsel te kunnen geven over het laatste gedeelte.

Update 12:53

Het maatwerk is gecontroleerd, de kwetsbaarheid is niet aangetroffen. Er staan nog enkele actiepunten open voor organisaties die samenwerken met een implementatiepartner, te weten: de implementatiepartner moet eveneens de kans krijgen om hun ontwikkelde maatwerk te onderwerpen aan een controle. Mocht blijken dat de implementatiepartner behoefte heeft aan extra ondersteuning, dan staat Customer Services ze graag te woord met best practices. 

Update 13:00

De analyse van de standaard productcode en het door GX ontwikkelde maatwerk is afgerond. GX heeft bevonden dat noch maatwerk, noch standaardprogrammatuur vatbaar is voor de kwetsbaarheid zoals gemeld met het kenmerk: Log4Shell / Log4J.

Mocht er desondanks ondersteuning nodig zijn of indien er nieuwe vragen ontstaan zijn, dan helpt Customer Services graag.

Verwante artikelen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.