De (remote) code execution kwetsbaarheid in lo4gj, waarover het NCSC in beveiligingsadvies NCSC-2021-1052 heeft geadviseerd, is volgens Apache in zowel versie 2.15 als versie 2.16 van Log4j verholpen. Apache geeft wel aan dat Log4j versie 2.15 een Denial-of-Service (DoS) kwetsbaarheid bevat (CVE-2021-45046). Het NCSC en CSIRT-DSP beschikken op dit moment niet over informatie die de berichtgeving van Apache hierover in twijfel trekt.
Het NCSC en CSIRT-DSP adviseert organisaties dringend te updaten naar een recente versie van Log4j.
- Heeft u versie 2.14 of ouder? Dan adviseert het CSIRT-DSP zo snel mogelijk te updaten naar versie 2.16.
- Heeft u versie 2.15 al? Dan adviseert het CSIRT-DSP om indien mogelijk te updaten naar versie 2.16.
Het beveiligingsadvies (NCSC-2021-1052) is geüpdatet met de meest recente informatie en adviezen.
Een compleet overzicht van de door het CSIRT-DSP gepubliceerde artikelen over log4j kan in dit nieuwsbericht worden teruggevonden.