Marek de Heus
Log4jShell in het nieuws, bij ons niets aan de hand
In het kort: alles is veilig, er is bij ons geen sprake geweest van een lek.
Mogelijk heb je al iets gezien of gehoord over een nieuw lek in computersystemen, de zogenaamde Log4jShell aanval.
Log4j is een logboek bibliotheek voor de programmeertaal Java (vandaar de naam log 4 J). Deze bestaat denk ik al een jaar of 20 en wordt door veel mensen gebruikt. Normaal zijn logboek bibliotheken heel saai en doen ze maar 1 ding: voor iedere belangrijke gebeurtenis dit wegschrijven naar een bestand (een logfile).
Echter in een recente versie van log4j, log4j2, zijn er allerlei toeters en bellen toegevoegd. Hierdoor kan deze bibliotheek zelf praten met andere systemen. Waarom je dit zou willen is ons niet duidelijk. Nu blijkt dus dat je door een speciaal bericht naar de server te sturen, je deze nieuwe functies kunt activeren. Na dit nieuws, proberen hackers op iedere willekeurige website of dit mogelijk is.
Maar hoe zit het precies bij ons?
Op 10 december, 's avonds laat ontvingen wij het nieuws. Binnen een paar minuten wisten we precies hoe de vork in de steel zat, sowieso doen wij vrijwel niets in Java:
Mogelijk heb je al iets gezien of gehoord over een nieuw lek in computersystemen, de zogenaamde Log4jShell aanval.
Log4j is een logboek bibliotheek voor de programmeertaal Java (vandaar de naam log 4 J). Deze bestaat denk ik al een jaar of 20 en wordt door veel mensen gebruikt. Normaal zijn logboek bibliotheken heel saai en doen ze maar 1 ding: voor iedere belangrijke gebeurtenis dit wegschrijven naar een bestand (een logfile).
Echter in een recente versie van log4j, log4j2, zijn er allerlei toeters en bellen toegevoegd. Hierdoor kan deze bibliotheek zelf praten met andere systemen. Waarom je dit zou willen is ons niet duidelijk. Nu blijkt dus dat je door een speciaal bericht naar de server te sturen, je deze nieuwe functies kunt activeren. Na dit nieuws, proberen hackers op iedere willekeurige website of dit mogelijk is.
Maar hoe zit het precies bij ons?
Op 10 december, 's avonds laat ontvingen wij het nieuws. Binnen een paar minuten wisten we precies hoe de vork in de steel zat, sowieso doen wij vrijwel niets in Java:
- alleen onze zoekmachine is in Java is geschreven.
- deze zoekmachine gebruikt log4j versie 1.2, maar gelukkig niet log4j2 versie 2.10 t/m 2.14 waar dit lek in zit.
Meer weten, bekijk onderstaande links of neem contact met ons op.
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
https://www.ncsc.nl/actueel/nieuws/2021/december/15/kwetsbaarheid-in-apache-log4j-patch-versie-2.15
https://www.kennisnet.nl/artikel/13844/kwetsbaarheid-log4j-heeft-ook-gevolgen-voor-funderend-onderwijs-en-mbo/
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
https://www.ncsc.nl/actueel/nieuws/2021/december/15/kwetsbaarheid-in-apache-log4j-patch-versie-2.15
https://www.kennisnet.nl/artikel/13844/kwetsbaarheid-log4j-heeft-ook-gevolgen-voor-funderend-onderwijs-en-mbo/
Meer weten? Lees ook onze andere artikelen op onze blog en volg ons op Twitter.
Andere artikelen:
Even een update over nieuwe functionaliteit
Het inloggen van leerlingen is verbeterd. Na het kiezen van “Log in als school” kunnen leerlingen inloggen zonder emailadres.
Als ze portfolio selecteren, daarna hun groep en dan hun foto hoeven ze alleen hun wachtwoord in te vullen.
De rapportag...
lees verder
Petrik de Heus
Wat doen wij met privacy gevoelige informatie?
Privacy vinden we bij Bordfolio heel belangrijk. Kennisnet denkt er gelukkig net zo over en heeft...
lees verder
Petrik de Heus