Marek de Heus
Log4jShell in het nieuws, bij ons niets aan de hand
In het kort: alles is veilig, er is bij ons geen sprake geweest van een lek.
Mogelijk heb je al iets gezien of gehoord over een nieuw lek in computersystemen, de zogenaamde Log4jShell aanval.
Log4j is een logboek bibliotheek voor de programmeertaal Java (vandaar de naam log 4 J). Deze bestaat denk ik al een jaar of 20 en wordt door veel mensen gebruikt. Normaal zijn logboek bibliotheken heel saai en doen ze maar 1 ding: voor iedere belangrijke gebeurtenis dit wegschrijven naar een bestand (een logfile).
Echter in een recente versie van log4j, log4j2, zijn er allerlei toeters en bellen toegevoegd. Hierdoor kan deze bibliotheek zelf praten met andere systemen. Waarom je dit zou willen is ons niet duidelijk. Nu blijkt dus dat je door een speciaal bericht naar de server te sturen, je deze nieuwe functies kunt activeren. Na dit nieuws, proberen hackers op iedere willekeurige website of dit mogelijk is.
Maar hoe zit het precies bij ons?
Op 10 december, 's avonds laat ontvingen wij het nieuws. Binnen een paar minuten wisten we precies hoe de vork in de steel zat, sowieso doen wij vrijwel niets in Java:
Mogelijk heb je al iets gezien of gehoord over een nieuw lek in computersystemen, de zogenaamde Log4jShell aanval.
Log4j is een logboek bibliotheek voor de programmeertaal Java (vandaar de naam log 4 J). Deze bestaat denk ik al een jaar of 20 en wordt door veel mensen gebruikt. Normaal zijn logboek bibliotheken heel saai en doen ze maar 1 ding: voor iedere belangrijke gebeurtenis dit wegschrijven naar een bestand (een logfile).
Echter in een recente versie van log4j, log4j2, zijn er allerlei toeters en bellen toegevoegd. Hierdoor kan deze bibliotheek zelf praten met andere systemen. Waarom je dit zou willen is ons niet duidelijk. Nu blijkt dus dat je door een speciaal bericht naar de server te sturen, je deze nieuwe functies kunt activeren. Na dit nieuws, proberen hackers op iedere willekeurige website of dit mogelijk is.
Maar hoe zit het precies bij ons?
Op 10 december, 's avonds laat ontvingen wij het nieuws. Binnen een paar minuten wisten we precies hoe de vork in de steel zat, sowieso doen wij vrijwel niets in Java:
- alleen onze zoekmachine is in Java is geschreven.
- deze zoekmachine gebruikt log4j versie 1.2, maar gelukkig niet log4j2 versie 2.10 t/m 2.14 waar dit lek in zit.
Meer weten, bekijk onderstaande links of neem contact met ons op.
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
https://www.ncsc.nl/actueel/nieuws/2021/december/15/kwetsbaarheid-in-apache-log4j-patch-versie-2.15
https://www.kennisnet.nl/artikel/13844/kwetsbaarheid-log4j-heeft-ook-gevolgen-voor-funderend-onderwijs-en-mbo/
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
https://www.ncsc.nl/actueel/nieuws/2021/december/15/kwetsbaarheid-in-apache-log4j-patch-versie-2.15
https://www.kennisnet.nl/artikel/13844/kwetsbaarheid-log4j-heeft-ook-gevolgen-voor-funderend-onderwijs-en-mbo/
Meer weten? Lees ook onze andere artikelen op onze blog en volg ons op Twitter.
Andere artikelen:
Filmpjes en PDF's in leerlingportfolio's
Het is nu mogelijk om PDF bestanden en filmpjes te uploaden in het portfolio van leerlingen.
De formaten die we nu ondersteunen voor video zijn m4v, mov en mp4. Dit zijn de meest voorkomende formaten.
De maximale grootte van de bestanden is 20MB.
Petrik de Heus
Nieuw: absenties vastleggen in Bordfolio
Vanaf nu kan iedere school absenties registreren. Ga naar Leerlingen -> Absentie en vul d...
lees verder
Marek de Heus