JAVA LOG4J KWETSBAARHEID

Kwetsbaarheid leveranciers en applicaties 

Door een kwetsbaarheid in de populaire Java Library Log4j kunnen kwaadwillenden direct code binnen het Java-proces uitvoeren. Wanneer het een aanvaller lukt de kwetsbaarheid succesvol uit te buiten, kan deze willekeurige code uitvoeren en zo de server waar de applicatie op draait overnemen. Dit kan op afstand zonder ingelogd te zijn. Vanaf de server kan de aanvaller zichzelf vervolgens toegang verschaffen tot de rest van het netwerk.

Overzicht leveranciers en applicaties die geraakt zijn
Deze dreiging raakt zoveel applicaties en leveranciers dat het Nationaal Cyber Security Centrum centraal een lijst bijhoudt van (met name) IT-leveranciers en applicaties die (mogelijk) geraakt zijn. Je vindt de lijst hier. Deze lijst wordt regelmatig geactualiseerd; we raden je aan om hem regelmatig te checken.

Let op: meerdere AV-leveranciers van BIS|Econocom staan niet in het NCSC overzicht. Hieronder zetten onze leveranciers op een rij die niet geraakt zijn.

• AMX
• Arbor
• Aqura - Televic
• Barco
• Biamp
• Bosch
• BroadSign
• Cisco
• Crestron
• Evoko
• Extron
• HP - Aruba products
• HP - overig
• Microsoft
• MVI
• N-Able
• NTI
• PADS
• Poly
• Starleaf
• Telelogos
• VuWall

Uitgebreid stappenplan
Er is inmiddels een nieuwe versie van log4j (versie 2.17) beschikbaar. Als je applicaties hebt gebouwd die Log4j bevatten, raden wij je ten zeerste aan de Library in deze applicaties direct te upgraden. Wij adviseren je om na de update regelmatig te checken of er inmiddels een update 2.18 (of hoger) is en vervolgens deze update te installeren. Een uitgebreid stappenplan met tips en suggesties vind je op de website van het Nationaal Cyber Security Centrum. Zeker de moeite van het bekijken waard!

Meer informatie? Hulp nodig?
Meer informatie vind je op deze webpagina. Heb je hulp nodig bij de update/upgrade van je applicatie(s)? Neem dan contact met ons op via het formulier rechts.