Marek de Heus
Log4jShell in het nieuws, bij ons niets aan de hand
In het kort: alles is veilig, er is bij ons geen sprake geweest van een lek.
Mogelijk heb je al iets gezien of gehoord over een nieuw lek in computersystemen, de zogenaamde Log4jShell aanval.
Log4j is een logboek bibliotheek voor de programmeertaal Java (vandaar de naam log 4 J). Deze bestaat denk ik al een jaar of 20 en wordt door veel mensen gebruikt. Normaal zijn logboek bibliotheken heel saai en doen ze maar 1 ding: voor iedere belangrijke gebeurtenis dit wegschrijven naar een bestand (een logfile).
Echter in een recente versie van log4j, log4j2, zijn er allerlei toeters en bellen toegevoegd. Hierdoor kan deze bibliotheek zelf praten met andere systemen. Waarom je dit zou willen is ons niet duidelijk. Nu blijkt dus dat je door een speciaal bericht naar de server te sturen, je deze nieuwe functies kunt activeren. Na dit nieuws, proberen hackers op iedere willekeurige website of dit mogelijk is.
Maar hoe zit het precies bij ons?
Op 10 december, 's avonds laat ontvingen wij het nieuws. Binnen een paar minuten wisten we precies hoe de vork in de steel zat, sowieso doen wij vrijwel niets in Java:
Mogelijk heb je al iets gezien of gehoord over een nieuw lek in computersystemen, de zogenaamde Log4jShell aanval.
Log4j is een logboek bibliotheek voor de programmeertaal Java (vandaar de naam log 4 J). Deze bestaat denk ik al een jaar of 20 en wordt door veel mensen gebruikt. Normaal zijn logboek bibliotheken heel saai en doen ze maar 1 ding: voor iedere belangrijke gebeurtenis dit wegschrijven naar een bestand (een logfile).
Echter in een recente versie van log4j, log4j2, zijn er allerlei toeters en bellen toegevoegd. Hierdoor kan deze bibliotheek zelf praten met andere systemen. Waarom je dit zou willen is ons niet duidelijk. Nu blijkt dus dat je door een speciaal bericht naar de server te sturen, je deze nieuwe functies kunt activeren. Na dit nieuws, proberen hackers op iedere willekeurige website of dit mogelijk is.
Maar hoe zit het precies bij ons?
Op 10 december, 's avonds laat ontvingen wij het nieuws. Binnen een paar minuten wisten we precies hoe de vork in de steel zat, sowieso doen wij vrijwel niets in Java:
- alleen onze zoekmachine is in Java is geschreven.
- deze zoekmachine gebruikt log4j versie 1.2, maar gelukkig niet log4j2 versie 2.10 t/m 2.14 waar dit lek in zit.
Meer weten, bekijk onderstaande links of neem contact met ons op.
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
https://www.ncsc.nl/actueel/nieuws/2021/december/15/kwetsbaarheid-in-apache-log4j-patch-versie-2.15
https://www.kennisnet.nl/artikel/13844/kwetsbaarheid-log4j-heeft-ook-gevolgen-voor-funderend-onderwijs-en-mbo/
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
https://www.ncsc.nl/actueel/nieuws/2021/december/15/kwetsbaarheid-in-apache-log4j-patch-versie-2.15
https://www.kennisnet.nl/artikel/13844/kwetsbaarheid-log4j-heeft-ook-gevolgen-voor-funderend-onderwijs-en-mbo/
Meer weten? Lees ook onze andere artikelen op onze blog en volg ons op Twitter.
Andere artikelen:
Het digitale portfolio in het basisonderwijs
Voor het basisonderwijs moet een digitaal portfolio aan een aantal extra eisen voldoen.
Het portfolio moet goed te begrijpen zijn voor leerlingen die nog niet goed kunnen lezen of schrijven.
Eenvoudig uploaden
Met Bordfolio kunnen leerlingen eenv...
lees verder
Petrik de Heus
Ons rapport cijfer is...
Ook wij doen ons best voor een goed rapport cijfer. Zo kregen we van Mozilla, de makers van de Fi...
lees verder
Marek de Heus