image

Nieuw beveiligingslek in Log4j maakt remote code execution mogelijk

dinsdag 28 december 2021, 21:35 door Redactie, 29 reacties

Er is een nieuwe kwetsbaarheid in Log4j gevonden waardoor in bepaalde gevallen remote code execution (RCE) mogelijk is. De Apache Software Foundation heeft vanavond een beveiligingsupdate uitgebracht (Log4j 2.17.1) om het probleem, aangeduid als CVE-2021-44832, te verhelpen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 6.6.

Het beveiligingslek is aanwezig in Log4j2 versies 2.0-beta7 tot en met 2.17.0 (op versies 2.3.2 en 2.12.4 na) en doet zich voor wanneer een aanvaller het logging-configuratiebestand kan aanpassen en vervolgens een malafide configuratie kan aanmaken waarbij er wordt verwezen naar een Java Naming and Directory Interface (JNDI) URI die code uitvoert. Doordat een aanvaller het configuratiebestand moet kunnen aanpassen is de impact van de kwetsbaarheid lager beoordeeld dan eerdere RCE-kwetsbaarheden in Log4j.

Beheerders wordt aangeraden om te updaten naar Log4j 2.3.2 (voor Java 6), 2.12.4 (voor Java 7) of 2.17.1 (voor Java 8 en nieuwer). De afgelopen drie weken zijn er vier kwetsbaarheden in Log4j gevonden:

  • CVE-2021-45105 - Denial of Service - CVSS Score 5.9
  • CVE-2021-44832 - Remote Code Execution - CVSS Score 6.6
  • CVE-2021-45046 - Remote Code Execution - CVSS Score 9.0
  • CVE-2021-44228 - Remote Code Execution - CVSS Score 10.0

Image

Reacties (29)
28-12-2021, 22:37 door Anoniem
Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.
28-12-2021, 22:48 door Anoniem
Voor Linux Ubuntu kan de volgende Terminal opdracht ingegeven worden.

$ sudo ua fix CVE-2021-44832

Dan volgt op het scherm of je de kwetsbare versie op je systeem hebt of niet.

Meer fixes met CVE-nummers vindt men op:
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Log4Shell
28-12-2021, 23:28 door Anoniem
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.
Begint een beetje op Exchange en LPR? te lijken
28-12-2021, 23:34 door Anoniem
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Het allerergste is dat als je door al die rijstebreiwerken van updates heen bent, je al lang vergeten bent wat je ook al weer ZELF wou doen met die software!
29-12-2021, 00:11 door [Account Verwijderd]
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Hmmm... Weer updaten; dit begint - inderdaad - onderhand enigszins irritant te worden.
29-12-2021, 07:23 door Anoniem
Corona-achtig...
29-12-2021, 07:57 door Anoniem
Ben wel benieuwd waarom die beveiligingslekken gemaakt worden.
29-12-2021, 08:17 door Anoniem
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

for (0 .. indefinitely) do update
29-12-2021, 08:36 door Anoniem
Bij het fixen van vulnerabilities is het dan ook veel te veel een kwestie van brandjes blussen ipv. kijken waar de aansteker ligt.
29-12-2021, 09:12 door Anoniem
Door Toje Fos:
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Hmmm... Weer updaten; dit begint - inderdaad - onderhand enigszins irritant te worden.

ik zou me kunnen voorstellen dat iedereen die de vorige CVE's serieus nam, nu wel weet waar zijn of haar 2.17.0'en uithangen, en patchen vergeleken met de vorige een fluitje van een cent is.
29-12-2021, 09:19 door Anoniem
Door Toje Fos:
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Hmmm... Weer updaten; dit begint - inderdaad - onderhand enigszins irritant te worden.

Wat zijn we weer negatief...
Is patch management niet altijd een taak die je geregeld moet uitvoeren waarbij je kijkt naar de impact voor jouw organisatie en dan bepaald hoe snel je dit wilt/moet oppakken?
Dit zou dus gewoon in een standaard proces meegenomen moeten worden. Als je dit proces niet hebt ingericht, snap ik jullie reactie, maar dan ligt mijns inzien het probleem bij jullie (organisatie) en niet bij hoe vaak er een update komt...
29-12-2021, 09:46 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Hmmm... Weer updaten; dit begint - inderdaad - onderhand enigszins irritant te worden.

Wat zijn we weer negatief...
Is patch management niet altijd een taak die je geregeld moet uitvoeren waarbij je kijkt naar de impact voor jouw organisatie en dan bepaald hoe snel je dit wilt/moet oppakken?
Dit zou dus gewoon in een standaard proces meegenomen moeten worden. Als je dit proces niet hebt ingericht, snap ik jullie reactie, maar dan ligt mijns inzien het probleem bij jullie (organisatie) en niet bij hoe vaak er een update komt...

Nee, het is de frequentie waarmee die gaten nu ontdekt worden. Dat vergt uiteindelijk hoe dan ook extra tijd omdat alles weer gepatcht én getest moet worden.
Ook al heb je je proces ingericht, dan nog zijn het elke keer extra handelingen, die bovenop het andere werk komen. En waarbij we deels ook weer afhankelijk zijn van leveranciers met hun eigen hot-fixes of patches.
En dat in een periode met minder bezetting agv de feestdagen en vakanties. :-)
Je komt nu niet aan het geplande werk toe, door steeds maar weer dit soort brandjes te moeten blijven blussen.

En het lijkt wel whack-a-mole. Het blijft maar doorgaan.

Hoeveel gaten kan 1 module eigenlijk maximaal bevatten? Is het einde al in zicht?
(how many angels can dance on the head of a pin)

En nog belangrijker:
Weet iemand of Apache de hele module op korte termijn nog een keer van de grond af aan veilig gaat herbouwen.
Dat lijkt me uiteindelijk een efficiëntere oplossing.
29-12-2021, 10:10 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos:
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Hmmm... Weer updaten; dit begint - inderdaad - onderhand enigszins irritant te worden.

ik zou me kunnen voorstellen dat iedereen die de vorige CVE's serieus nam, nu wel weet waar zijn of haar 2.17.0'en uithangen, en patchen vergeleken met de vorige een fluitje van een cent is.

Dat natuurlijk inderdaad wel maar ik vind het toch irritant worden.
29-12-2021, 10:56 door Anoniem
Er zijn nu zoveel mensen in de wereld die naar dit stukje software kijken ... dat de kans natuurlijk veel groter is ... dat er nog iets kwetsbaars wordt gevonden....

Als de wereld klaar is met log4j ... dan is het , het meest veilige stukje software .... tot de volgende patch uitkomt :D
29-12-2021, 12:07 door Anoniem
Door Anoniem 09:46:
En nog belangrijker:
Weet iemand of Apache de hele module op korte termijn nog een keer van de grond af aan veilig gaat herbouwen.
Dat lijkt me uiteindelijk een efficiëntere oplossing.

Dat is juist het hele probleem. De module is niet door Apache geschreven maar door een clubje hobbyisten ('community-driven repository').
https://www.nrc.nl/nieuws/2021/12/14/log4j-hoe-zes-mensen-het-web-moeten-redden-a4068878
29-12-2021, 12:17 door Anoniem
Gaat inmiddels niet 80% van de tijd in dit soort "onderhoud" zitten: impact in kaart brenegen, deployment in acceptatie, testen, deployment in productie. en weer opnieuw..
Je moet je afvragen of het gehele deployment proces van incomplete software niet anders kan & of er niet strengere eisen aan software (doet het wat het moet doen en niets anders: referentie uit het verleden Edsger Dijkstra) gesteld moeten worden.
29-12-2021, 12:46 door [Account Verwijderd] - Bijgewerkt: 29-12-2021, 12:57
Door Anoniem:
Door Anoniem 09:46:
En nog belangrijker:
Weet iemand of Apache de hele module op korte termijn nog een keer van de grond af aan veilig gaat herbouwen.
Dat lijkt me uiteindelijk een efficiëntere oplossing.

Dat is juist het hele probleem. De module is niet door Apache geschreven maar door een clubje hobbyisten ('community-driven repository').
https://www.nrc.nl/nieuws/2021/12/14/log4j-hoe-zes-mensen-het-web-moeten-redden-a4068878

Er is geen probleem want log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald). En de software is door trained professionals geschreven. Weliswaar in hun vrije tijd maar dat is vanuit hun idealen en alleen maar bewonderingswaardig. Nee, als je dergelijke gratis beschikbaar gestelde software gebruikt dan moet je kijken naar hoe het is gesteld met onderhoud en ondersteuning en je kan beter voorbereid zijn op het moeten installeren van nieuwe versies in geval van problemen. Je bent toch geen scriptkiddie?
29-12-2021, 13:10 door Anoniem
Door Toje Fos:
Er is geen probleem want log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald). En de software is door trained professionals geschreven. Weliswaar in hun vrije tijd maar dat is vanuit hun idealen en alleen maar bewonderingswaardig. Nee, als je dergelijke gratis beschikbaar gestelde software gebruikt dan moet je kijken naar hoe het is gesteld met onderhoud en ondersteuning en je kan beter voorbereid zijn op het moeten installeren van nieuwe versies in geval van problemen.

Je bent toch geen scriptkiddie?

Jij bent blijkbaar wel een scriptkiddie want je copy-paste inherent onveilige code mee in je eigen product en zit nu constant te updaten.
Veel succes daarmeee.
29-12-2021, 13:11 door Tintin and Milou - Bijgewerkt: 29-12-2021, 13:14
Door Toje Fos:
Er is geen probleem want log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald).[
Daarom zitten we nu al weer op een nieuwe versie?

En de software is door trained professionals geschreven.
Kwaliteit past anders redelijk bij consumenten software. Als je zoveel grote bugs vind in zo'n korte tijd, dan is er het nodige mee mis.

Weliswaar in hun vrije tijd maar dat is vanuit hun idealen en alleen maar bewonderingswaardig. Nee, als je dergelijke gratis beschikbaar gestelde software gebruikt dan moet je kijken naar hoe het is gesteld met onderhoud en ondersteuning en je kan beter voorbereid zijn op het moeten installeren van nieuwe versies in geval van problemen. Je bent toch geen scriptkiddie?
Hier zie je dus ook mooi direct wat open source kan betekenen.

Maar je kunt inderdaad maar beter voorbereid zijn, waarschijnlijk is dit nog niet de laatste bug die gevonden is/was?
Blijkbaar is de kwaliteit van dit stukje software, wat overal in het enterprise segment gebruikt wordt, kwalitatief uitermate teleurstellend.
Ondanks dat iedereen de code kon zien, zijn er in zeer korte tijd heel veel grote fouten gevonden, nadat er een nieuwe versie gereleased was.
29-12-2021, 13:12 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Anoniem 09:46:
En nog belangrijker:
Weet iemand of Apache de hele module op korte termijn nog een keer van de grond af aan veilig gaat herbouwen.
Dat lijkt me uiteindelijk een efficiëntere oplossing.

Dat is juist het hele probleem. De module is niet door Apache geschreven maar door een clubje hobbyisten ('community-driven repository').
https://www.nrc.nl/nieuws/2021/12/14/log4j-hoe-zes-mensen-het-web-moeten-redden-a4068878

Er is geen probleem want log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald). En de software is door trained professionals geschreven. Weliswaar in hun vrije tijd maar dat is vanuit hun idealen en alleen maar bewonderingswaardig. Nee, als je dergelijke gratis beschikbaar gestelde software gebruikt dan moet je kijken naar hoe het is gesteld met onderhoud en ondersteuning en je kan beter voorbereid zijn op het moeten installeren van nieuwe versies in geval van problemen. Je bent toch geen scriptkiddie?

Heel de bedrijfswereld was voorbereid op het implementeren van updates en fixes. Toch werden ze met de broek op de enkels betrapt toen deze reeks aan kwetsbaarheden boven water kwamen en dit per gisteren allemaal gerepareerd moest worden.
Want het was toen niet duidelijk waar het allemaal in verstopt zat. En ook leveranciers van software hadden moeite om hun software park helemaal door te lichten. (en zeker grote jongens als bv IBM)

Met elke nieuw lek, moet er weer een fix of update geïmplementeerd worden.
Op zich niets mis mee, maar met beperkte bezetting én bijna dagelijks nieuwe lekken, hakt dat er toch in. Vooral omdat nu blijkt dat het in veel systemen verborgen zat.
En die kun je dan meestal niet allemaal in een keer updaten, omdat leveranciers weer verschillende protocollen en uitlever mechanismen hebben, waar je ook weer rekening mee moet houden.
En ja, dan gaat het de keel uit hangen.

We zijn aan het einde van het jaar.
Dan staan er bij ons (andere) reguliere eindejaars werkzaamheden gepland die ook uitgevoerd moeten worden.
Die komen nu keer op keer in de verdrukking. Wat dan weer overwerken betekent.
En dat vindt het thuisfront ook hééél leuk.
Vooral met kerst en 31 december.
29-12-2021, 13:29 door Anoniem
Door Toje Fos:
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Hmmm... Weer updaten; dit begint - inderdaad - onderhand enigszins irritant te worden.

Ja misschien toch maar eens een beter distribuitiemechanisme regelen he?
Onee, daar is Toje tegen. Of hij denkt dat dat niet kan.
Hopelijk dat de rest van de wereld het alsnog oppakt.
29-12-2021, 14:14 door Anoniem
Door Tintin and Milou:
Door Toje Fos:
Er is geen probleem want log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald).[
Daarom zitten we nu al weer op een nieuwe versie?

En de software is door trained professionals geschreven.
Kwaliteit past anders redelijk bij consumenten software. Als je zoveel grote bugs vind in zo'n korte tijd, dan is er het nodige mee mis.

Weliswaar in hun vrije tijd maar dat is vanuit hun idealen en alleen maar bewonderingswaardig. Nee, als je dergelijke gratis beschikbaar gestelde software gebruikt dan moet je kijken naar hoe het is gesteld met onderhoud en ondersteuning en je kan beter voorbereid zijn op het moeten installeren van nieuwe versies in geval van problemen. Je bent toch geen scriptkiddie?
Hier zie je dus ook mooi direct wat open source kan betekenen.

Maar je kunt inderdaad maar beter voorbereid zijn, waarschijnlijk is dit nog niet de laatste bug die gevonden is/was?
Blijkbaar is de kwaliteit van dit stukje software, wat overal in het enterprise segment gebruikt wordt, kwalitatief uitermate teleurstellend.
Ondanks dat iedereen de code kon zien, zijn er in zeer korte tijd heel veel grote fouten gevonden, nadat er een nieuwe versie gereleased was.
Heeft niks met open source te maken. Als het closed source was geweest had men het nog een tijdje kunnen uitbuiten.
Gelukkig is het wel opensource en kan men er naar kijken om het op te lossen en of het opgelost is.
29-12-2021, 14:14 door [Account Verwijderd] - Bijgewerkt: 29-12-2021, 14:19
Door Tintin and Milou:
Door Toje Fos:
Er is geen probleem want log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald).[
Daarom zitten we nu al weer op een nieuwe versie?

En de software is door trained professionals geschreven.
Kwaliteit past anders redelijk bij consumenten software. Als je zoveel grote bugs vind in zo'n korte tijd, dan is er het nodige mee mis.

Weliswaar in hun vrije tijd maar dat is vanuit hun idealen en alleen maar bewonderingswaardig. Nee, als je dergelijke gratis beschikbaar gestelde software gebruikt dan moet je kijken naar hoe het is gesteld met onderhoud en ondersteuning en je kan beter voorbereid zijn op het moeten installeren van nieuwe versies in geval van problemen. Je bent toch geen scriptkiddie?
Hier zie je dus ook mooi direct wat open source kan betekenen.

Maar je kunt inderdaad maar beter voorbereid zijn, waarschijnlijk is dit nog niet de laatste bug die gevonden is/was?
Blijkbaar is de kwaliteit van dit stukje software, wat overal in het enterprise segment gebruikt wordt, kwalitatief uitermate teleurstellend.
Ondanks dat iedereen de code kon zien, zijn er in zeer korte tijd heel veel grote fouten gevonden, nadat er een nieuwe versie gereleased was.

Geen professional die 300.000+ regels code gaat 'reviewen' met de verwachting iets te vinden. Door het open source zijn van log4j zijn de problemen echter wel veel sneller en beter opgelost dan bij closed source het geval zou zijn geweest. Dan had je er niets van gehoord totdat het echt niet anders kon en dan had je moeten wachten op die magische dinsdag.

En log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald).

Door Anoniem:
Door Toje Fos:
Er is geen probleem want log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald). En de software is door trained professionals geschreven. Weliswaar in hun vrije tijd maar dat is vanuit hun idealen en alleen maar bewonderingswaardig. Nee, als je dergelijke gratis beschikbaar gestelde software gebruikt dan moet je kijken naar hoe het is gesteld met onderhoud en ondersteuning en je kan beter voorbereid zijn op het moeten installeren van nieuwe versies in geval van problemen.

Je bent toch geen scriptkiddie?

Jij bent blijkbaar wel een scriptkiddie want je copy-paste inherent onveilige code mee in je eigen product en zit nu constant te updaten.
Veel succes daarmeee.

Copy-paste van onveilige code? Waar heb je het nou weer over? Zit het hier dan vol met scriptkiddies die geen verstand hebben van moderne softwareontwikkeling?

Door Anoniem:
Door Toje Fos:
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Hmmm... Weer updaten; dit begint - inderdaad - onderhand enigszins irritant te worden.

Ja misschien toch maar eens een beter distribuitiemechanisme regelen he?
Onee, daar is Toje tegen. Of hij denkt dat dat niet kan.
Hopelijk dat de rest van de wereld het alsnog oppakt.

En stug volhouden dat het een distributieprobleem zou zijn, tegen de feiten in. #wappie
29-12-2021, 14:16 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Toje Fos:
Door Anoniem: Het blijft maar doorgaan. Dit wordt bijna een dagelijks klusje. Tegen de tijd dat je alles geupdate hebt, kun je met de volgende rond starten. Eindeloos.

Hmmm... Weer updaten; dit begint - inderdaad - onderhand enigszins irritant te worden.

Ja misschien toch maar eens een beter distribuitiemechanisme regelen he?
Onee, daar is Toje tegen. Of hij denkt dat dat niet kan.
Hopelijk dat de rest van de wereld het alsnog oppakt.

En stug volhouden dat het een distributieprobleem zou zijn, tegen de feiten in. #wappie
Mijn windows collega's zijn er maar druk mee. Ik ben al lang klaar omdat de applicatie beheerder het pakketje heeft gebruikt wat mee komt met OS packagemanagement.
29-12-2021, 14:19 door Anoniem
als je je netwerkverkeer en admin rechten goed beheerd heb je nergens last van. Als je alles openzet en direct naar vanuit het internet naar je applicatie server kan zonder proxies / dmz / router / gateways en firewalls tja dan heb je een probleem. verdere problemen zijn niet anders dat je op een server kan komen en daar met admin rechten trollen...
29-12-2021, 16:41 door Tintin and Milou
Door Toje Fos:
Geen professional die 300.000+ regels code gaat 'reviewen' met de verwachting iets te vinden.
Dus is eigenlijk een wassen neus dat iedereen de code kan zien?

Door het open source zijn van log4j zijn de problemen echter wel veel sneller en beter opgelost dan bij closed source het geval zou zijn geweest. Dan had je er niets van gehoord totdat het echt niet anders kon en dan had je moeten wachten op die magische dinsdag.
Je bedoelt sneller en beter, als in de 1ste, de 2de, 3de of .... fix binnen 2 weken? Ik weet niet eens meer hoeveel versies ze nu uitgebracht hebben.

En log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald).
Het is maar wat je probleempjes noemt, beetje onderschatting van het probleem denk ik. Het internet staat in brand, code rood bij menig bedrijf en jij noemt dit een paar probleempjes?

Ik heb al met diverse klanten overleg gehad, om servers maar gewoon uit te zetten om geen risico te nemen, preventief wachtwoorden te resetten voor gebruikers, scans moeten regelen om deze jar files te vinden op het applicatie servers of op de desktops. En dan waren er al cloud applicatie servers down waar men gebruik van maakte.

Ik had het rustiger met de Exchange patches dan met deze ellende.
29-12-2021, 17:29 door [Account Verwijderd] - Bijgewerkt: 29-12-2021, 17:35
Door Tintin and Milou:
Door Toje Fos:
Geen professional die 300.000+ regels code gaat 'reviewen' met de verwachting iets te vinden.
Dus is eigenlijk een wassen neus dat iedereen de code kan zien?

Nee, hoezo? Het gaat erom dat je de broncode 'hebt' en niet afhankelijk bent van een louche softwarebedrijf dat alles wat geld kost zo lang mogelijk zal uitstellen (in ieder geval tot patchdinsdag). De gedachte dat je in staat zou zijn om eventjes door 300.000+ regels code te kijken, met jouw wijze blik, en er dan alle problemen uit zou halen is ontzettend naïef en getuigt van een totaal gebrek aan ervaring met softwareontwikkeling. Maar stel nu dat je het écht zat bent met die problemen in log4j en een flinke voorraad cola of energiedrankjes in huis hebt. En heel veel kennis en tijd. Dan zou je log4j kunnen forken, doorspitten en verbeteren en het resultaat aanbieden bij degenen die het onderhouden. De wereld zou je dankbaar zijn! Het is open source software, dus het is mogelijk en iedereen kan precies zien in de versiehistorie wat jij hebt gewijzigd. Bij closed source software kan je niets van dat alles. Je moet vertrouwen op de blauwe ogen van jouw softwareleverancier en die heeft je helemaal bij de ballen.

Door Tintin and Milou:
Door Toje Fos:
Door het open source zijn van log4j zijn de problemen echter wel veel sneller en beter opgelost dan bij closed source het geval zou zijn geweest. Dan had je er niets van gehoord totdat het echt niet anders kon en dan had je moeten wachten op die magische dinsdag.
Je bedoelt sneller en beter, als in de 1ste, de 2de, 3de of .... fix binnen 2 weken? Ik weet niet eens meer hoeveel versies ze nu uitgebracht hebben.

Kom, kom, je bent toch geen scriptkiddie?

Door Tintin and Milou:
En log4j zit best goed in elkaar (op een paar probleempjes na maar die worden er nu snel uitgehaald).
Het is maar wat je probleempjes noemt, beetje onderschatting van het probleem denk ik. Het internet staat in brand, code rood bij menig bedrijf en jij noemt dit een paar probleempjes?

Het echte probleem is natuurlijk het niet goed kunnen doorvoeren van wijzigingen van gebruikers van software die log4j aanroept. Voor de problemen met log4j zijn er toch al lang nieuwe versies waarin het is opgelost? Nou dan.

Door Tintin and Milou:Ik heb al met diverse klanten overleg gehad, om servers maar gewoon uit te zetten om geen risico te nemen, preventief wachtwoorden te resetten voor gebruikers, scans moeten regelen om deze jar files te vinden op het applicatie servers of op de desktops. En dan waren er al cloud applicatie servers down waar men gebruik van maakte.

Tjeezus, wat een geknoei toch weer. Dat krijg je als beheerders gewend zijn om 'eventjes opnieuw te installeren' bij problemen. Dan weten ze niet meer hoe dingen normaal te onderzoeken en op te lossen.

Door Tintin and Milou: Ik had het rustiger met de Exchange patches dan met deze ellende.

Tja, je moet niet alleen verstand van Windows platformen hebben. Daarmee snijd je jezelf vroeg of laat in de vingers.
30-12-2021, 15:52 door Anoniem
Door Toje Fos: Het echte probleem is natuurlijk het niet goed kunnen doorvoeren van wijzigingen van gebruikers van software die log4j aanroept. Voor de problemen met log4j zijn er toch al lang nieuwe versies waarin het is opgelost? Nou dan.
Er zijn lekken gedicht maar ik vraag me ernstig af of er geen ontwerpproblemen aan ten grondslag liggen die helemaal niet zijn opgelost en ook niet met een paar patches zijn op te lossen. Ik verbaasde me al over dat een logcomponent 300.000 regels code kan beslaan, en de aard van de lekken lijkt aan te geven dat er allerlei functies in vermengd zijn die uit oogpunt van veiligheid en beheersbaarheid beter gescheiden van het loggen geïmplementeerd hadden kunnen worden.

Gewetensvraag voor jou: is dit niet precies het soort ongewenste verwevenheid van zaken die beter gescheiden kunnen blijven, met alle gevolgen van dien, die jou met enige regelmaat wat van Microsoft komt als software voor lichte consumententoepassingen doet typeren?
03-01-2022, 08:28 door Anoniem
De reeks gaten (of een deel) had ik al verwacht dat ze in de eerste patch gevonden zouden zijn door zelf grondig te testen en niet door aan crowd-testing te doen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.