Twee weken geleden is een ernstige kwetsbaarheid ontdekt in Apache Log4j versie vanaf 2.0.0 en voor voor 2.15.0. Binnen ons hosting platform maken wij geen wij geen gebruik van Java, waardoor dit lek bij ons niet van toepassing is.
Moet ik zelf nog iets doen? Nee, wanneer je je website op onze hosting hebt ondergebracht, hoef je zelf geen actie te ondernemen.
Over Apache Log4j kwetsbaarheid
Log4j is een library om logs weg te schrijven, waarin een specifieke module zit om items te resolven. In de afgelopen weken bleek dat iemand een syntax heeft gevonden om data te resolven en direct uit te voeren richting externe servers, terwijl dit nooit de bedoeling is. Hiermee kon middels een eenvoudige User-Agent aanpassing op basis van deze syntax een Java applicatie bezocht worden om toegang te krijgen tot een volledig systeem.
Zie voor meer informatie:
https://securelist.com/cve-2021-44228-vulnerability-in-apache-log4j-library/105210/
