Log4Shell kwetsbaarheid
12-12-202115-12-2021:
MCX is op de hoogte van het feit dat er een nieuwe kwetsbaarheid in Log4j is gevonden: CVE-2021-45046. Hoewel deze nieuwe kwetsbaarheid niet kritiek is, kan uit de beschrijving ervan wel blijken dat de door Oracle aangeboden oplossing van het oorspronkelijke probleem (CVE-2021-44228) wellicht niet correct en/of volledig is. Het nieuws is echter nog zo vers, dat Oracle nog geen updates op MOS heeft kunnen publiceren.
Klanten met omgevingen die voor het gehele internet benaderbaar zijn, zijn reeds door MCX op de hoogte gesteld van deze ontwikkeling. Er is geadviseerd deze omgevingen tijdelijk beperkt toegankelijk te maken danwel helemaal offline te brengen. Een deel van de klanten heeft een mogelijke fix geimplementeerd.
Zodra Oracle met nieuwe informatie komt zullen we onze klanten op de gebruikelijke manier informeren.
12-12-2021:
Oracle houdt op My Oracle Support in note 2827611.1 bij voor welke producten er patches zijn uitgekomen. Op dit moment (10.00) zijn dat slechts nog twee producten. Helaas zitten Oracle E-Business Suite en PeopleSoft daar nog niet bij. Zodra er meer informatie bekend is laten we dit weten.
11-12-2021:
Op 11-12-2021 heeft Oracle melding gemaakt van een kwetsbaarheid, genaamd Log4Shell, die van toepassing is op Apache Log4j. Op het moment van schrijven (11-12-2021, 12.30) is er nog geen patch beschikbaar. MCX houdt het nieuws in de gaten. Zodra er een patch beschikbaar komt dan maakt MCX een impactanalyse en stemt met de getroffen klanten vervolgstappen af. Het intrusion detection systeem van MCX is reeds voorzien van rules om eventuele uitbuiting van deze kwetsbaarheid op te merken.
Mocht u vragen hebben dan kunt u contact opnemen met MCX (055 5260670) en vragen naar de Security Officer.