1. Samenvatting
Afgelopen donderdag, op 9-12-2021 verscheen CVE-2021-44228 met betrekking tot Apache Log4j. Onze analyse van het Blueriq platform (versie 11.0 en hoger) heeft aangetoond dat het Blueriq platform, zoals standaard geleverd, niet wordt beïnvloed door deze kwetsbaarheid. Hetzelfde geldt voor Blueriq Publisher 4 en 5 en Blueriq Model Analyzer 3.
Het Blueriq Platform maakt gebruik van Logback als logging framework in plaats van Log4j en is hiermee alleen afhankelijk van de log4j-api en log4j-to-slf4j. Beide libraries worden niet geraakt, maar gebruiken hetzelfde versie schema als de Log4j-core library welke wel wordt getroffen.
Dit betekent niet dat klant projecten van Blueriq niet getroffen kunnen zijn. De Log4j-core library kan worden toegevoegd als onderdeel van aangepaste code of kan worden gebruikt in afzonderlijke (aangepaste) services. Daarom raden we alle klanten en projecten sterk aan om hun eigen implementatie te controleren.
2. Beschrijving kwetsbaarheid
De beveiligingswaarschuwing heeft effect op CVE-2021-44228, een kwetsbaarheid die ontstaat bij het uitvoeren van externe code in Apache Log4j. Deze kwetsbaarheid kan op afstand worden misbruikt zonder authenticatie en kan de aanvaller mogelijk volledige controle geven over de server of kan misbruikt worden via een netwerk.
Vanwege de ernst van deze beveiligingswaarschuwing en het gemak waarmee er misbruik van gemaakt kan worden, heeft het een Common Vulnerability Scoring System (CVSS) gekregen van 10.0 en wordt het door het door verschillende partijen als kritiek bestempeld.
De waarschuwing heeft effect op alle Log4j-versies vanaf versie 2.0 tot en met 2.14.1. Kijk voor meer informatie en mitigerende maatregelen op:
https://logging.apache.org/log4j/2.x/security.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
