Belangrijk XiltriX beveiligingsnieuws

Inleiding

Onlangs hebben meerdere internationale organisaties gebruikers gewaarschuwd voor een kwetsbaarheid in de log4j 2.x-software. Deze kwetsbaarheid kreeg de naam CVE-2021-44228. Details over de kwetsbaarheid zijn gepubliceerd op de NCSC-website: https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052. Dit beveiligingslek wordt als kritiek beschouwd omdat het uitvoering van (externe) code mogelijk maakt met zowel opstart-ROOT-autorisaties als gebruikersautorisaties.

 

Heeft dit invloed op de XiltriX-toepassing?

NEE -> De gebruikersinterface van de Java-client maakt geen gebruik van Log4j.

NEE -> De Java-webtoepassing maakt geen gebruik van log4j.

NEE -> Apache Tomcat, de servlet-container (webserver) waarop de webtoepassing draait, gebruikt geen log4j.

Heeft dit invloed op het Linux besturingssysteem waarop XiltriX is geïnstalleerd?

NEE -> Op de meeste Linux-distributies is log4j 1.x geïnstalleerd als een afhankelijkheid van Apache Tomcat. Merk op dat dit versie 1.x is, die geen last heeft van dit beveiligingslek.

Zijn er vergelijkbare kwetsbaarheden gevonden in eerdere versie van log4j?

Er is een verwante CVE-2021-4104 uitgegeven door Apache speciaal voor log4j 1.x, die nog moet worden gepubliceerd. Dit betreft een exploit door een log4j-configuratiebestand aan te passen om het gebruik van een bepaalde logbestand-appender expliciet toe te staan wat het systeem kwetsbaar maakt op dezelfde manier als de CVE voor log4j 2.x. Root-toegang is vereist om dergelijke configuratiewijzigingen aan te brengen, en iemand die root-toegang heeft, hoeft geen misbruik te maken van kwetsbaarheden.

Vragen en aanbevelingen

Mochten er naar aanleiding van dit statement vragen zijn, kunt u altijd contact opnemen met onze support afdeling op support@xiltrix.com. XiltriX International adviseert om de XiltriX applicatie en onderliggende besturingssystemen op regelmatige basis te updaten. Hiervoor levert XiltriX de benodigde support contracten en consultancy.

Met vriendelijke groeten

XiltriX International

Han Weerdesteyn

CCO

If you would like to know more about XiltriX, let me know.

Han Weerdesteyn
CCO

Related downloads
Labvision Cryo for Life