Snyk waarschuwt: update direct je Apache Log4j software

Developer-first securitybedrijf Snyk waarschuwt voor de potentieel grote impact op een groot aantal bedrijven. 

De kwetsbaarheid, Log4Shell, actief binnen het populaire Java logging framework is gepubliceerd als CVE-2021-44228 en gecategoriseerd als Critical met een CVSS-score van 10 (de hoogst mogelijke score). 

Veel bedrijven wereldwijd gebruiken Apache Log4j 2, zo ook in Nederland en België. Gezien de zeer ernstige kwetsbaarheid, is het van grootste belang dat bedrijven alle huidige versies van Log4j 2 tot 2.14.1 per direct updaten naar versie 2.15.0 of hoger. Alleen zo kan het securitylek verholpen worden.

Brian Vermeer, Senior Developer Advocate en Java Champion bij Snyk, benadrukt:

“Veel applicatieframeworks in het Java-ecosysteem gebruiken standaard dit loggingframework. Apache Struts 2, Apache Solr en Apache Druid worden bijvoorbeeld allemaal beïnvloed. Afgezien daarvan wordt Apache Log4J ook gebruikt in veel Spring- en Spring Boot-applicaties. 

Ik wil benadrukken dat deze situatie zeer ernstig is. Er komen op dit moment waarschuwingen vanuit de gehele industrie dat aanvallers op dit moment actief op zoek zijn naar servers die kwetsbaar zijn voor Log4Shell-aanvallen. We raden iedereen dus aan hun applicaties te controleren en bij te werken naar de nieuwste versie.”