Jump to content
  • 0

Apache zero-day kwetsbaarheid Log4j


menno

Question

Er is bij sommige bedrijven veel te doen over deze kwetsbaarheid: https://threatpost.com/zero-day-in-ubiquitous-apache-log4j-tool-under-active-attack/176937/ 

Één van mijn klanten belde mij daar gisteren over, want die heeft 7 FM-servers draaien en hij wilde weten of hij iets moest doen.

In de FileMaker community bij Claris is er sinds Vrijdag een thread die er over gaat: https://community.claris.com/en/s/question/0D53w00005ZJYITCA5/is-claris-filemaker-server-current-or-past-versions-vulnerable-to-the-apache-log4j-zero-day

Vandaag heeft Claris erop gereageerd: https://community.claris.com/en/s/article/CVE-2021-44228-Apache-Log4j-Vulnerability-and-Claris-products

In een notedop: als je FMS19 gebruikt, zit je safe. Oudere versies van FMS kan je beter upgraden.

Link to comment

7 answers to this question

Recommended Posts

  • 0

Eerlijk gezegd lijkt mij dit een goedkope truuk om meer licenties FM19 te verkopen. FMS19 is immers al een tijdje beschikbaar terwijl die log4j kwetsbaarheid pas deze week naar buiten is gekomen. Wisten ze tijdens het ontwikkelen van FMS19 al dat deze kwetsbaarheid bestaat en hebben ze het gat gedicht zonder de rest van de wereld dat te vertellen en ook de gebruikers van  FMS18 en ouder niet te waarschuwen?

Link to comment
  • 0

De huidige versie van log4j in apache in 2.16 (13-12-2021). De kwetsbaarheid is in versie 2.15 (6-12-2021) gepatched en de laatste release die de kwetsbaarheid bevat is 2.14 (3-6-2021). 

Als ik het goed heb begrepen gebruikt FMS19 log4j niet, maar in FMS18 nog wél in webdirect (maar ik ken de details niet).

Het zou inderdaad een mooie gelegenheid kunnen zijn om "upgrade-twijfelaars" aan de nieuwe versie te krijgen, maar Ik geloof niets van een "complot-theorie"

Link to comment
  • 0
59 minutes ago, menno said:

De huidige versie van log4j in apache in 2.16 (13-12-2021). De kwetsbaarheid is in versie 2.15 (6-12-2021) gepatched en de laatste release die de kwetsbaarheid bevat is 2.14 (3-6-2021). 

Als ik het goed heb begrepen gebruikt FMS19 log4j niet, maar in FMS18 nog wél in webdirect (maar ik ken de details niet).

Het zou inderdaad een mooie gelegenheid kunnen zijn om "upgrade-twijfelaars" aan de nieuwe versie te krijgen, maar Ik geloof niets van een "complot-theorie"

Maar 'apache' suggereert dat het alleen om MacOS gaat, ik neem aan dat log4j niet icm IIS gebruikt wordt?

En eerlijk gezegd verwacht ik dan van Claris ook een patch of een update voor FMS18 en eerder.

Edited by hans erik
Link to comment
  • 0
2 minutes ago, hans erik said:

Maar 'apache' suggereert dat het alleen om MacOS gaat, ik neem aan dat log4j niet icm IIS gebruikt wordt?

Het lijkt mij dat het niet slechts beperkt is tot MacOS, zoals gisteren nog werd verondersteld. FMServer heeft meen ik voor webdirect een tomcat-webserver die op java draait aan boord.

Dat stuk staat denk ik los van de admin-server die al een tijdje helemaal geen gebruik maakt van java. Die gebruikt gewoon de "on-board" webserver van het OS (Windows, MacOS, Ubuntu).

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...