menno Posted December 14, 2021 Posted December 14, 2021 Er is bij sommige bedrijven veel te doen over deze kwetsbaarheid: https://threatpost.com/zero-day-in-ubiquitous-apache-log4j-tool-under-active-attack/176937/ Één van mijn klanten belde mij daar gisteren over, want die heeft 7 FM-servers draaien en hij wilde weten of hij iets moest doen. In de FileMaker community bij Claris is er sinds Vrijdag een thread die er over gaat: https://community.claris.com/en/s/question/0D53w00005ZJYITCA5/is-claris-filemaker-server-current-or-past-versions-vulnerable-to-the-apache-log4j-zero-day Vandaag heeft Claris erop gereageerd: https://community.claris.com/en/s/article/CVE-2021-44228-Apache-Log4j-Vulnerability-and-Claris-products In een notedop: als je FMS19 gebruikt, zit je safe. Oudere versies van FMS kan je beter upgraden. Quote
0 Banach Posted December 14, 2021 Posted December 14, 2021 Eerlijk gezegd lijkt mij dit een goedkope truuk om meer licenties FM19 te verkopen. FMS19 is immers al een tijdje beschikbaar terwijl die log4j kwetsbaarheid pas deze week naar buiten is gekomen. Wisten ze tijdens het ontwikkelen van FMS19 al dat deze kwetsbaarheid bestaat en hebben ze het gat gedicht zonder de rest van de wereld dat te vertellen en ook de gebruikers van FMS18 en ouder niet te waarschuwen? Quote
0 menno Posted December 14, 2021 Author Posted December 14, 2021 De huidige versie van log4j in apache in 2.16 (13-12-2021). De kwetsbaarheid is in versie 2.15 (6-12-2021) gepatched en de laatste release die de kwetsbaarheid bevat is 2.14 (3-6-2021). Als ik het goed heb begrepen gebruikt FMS19 log4j niet, maar in FMS18 nog wél in webdirect (maar ik ken de details niet). Het zou inderdaad een mooie gelegenheid kunnen zijn om "upgrade-twijfelaars" aan de nieuwe versie te krijgen, maar Ik geloof niets van een "complot-theorie" Quote
0 Banach Posted December 14, 2021 Posted December 14, 2021 Ook onder FMS18 kan ik geen referentie naar log4j terugvinden, misschien een van de andere forumleden wél? Ook zie ik Claris noch FileMaker (nog) niet op deze lijst staan: https://github.com/NCSC-NL/log4shell/blob/main/software/README.md Quote
0 hans erik Posted December 14, 2021 Posted December 14, 2021 (edited) 59 minutes ago, menno said: De huidige versie van log4j in apache in 2.16 (13-12-2021). De kwetsbaarheid is in versie 2.15 (6-12-2021) gepatched en de laatste release die de kwetsbaarheid bevat is 2.14 (3-6-2021). Als ik het goed heb begrepen gebruikt FMS19 log4j niet, maar in FMS18 nog wél in webdirect (maar ik ken de details niet). Het zou inderdaad een mooie gelegenheid kunnen zijn om "upgrade-twijfelaars" aan de nieuwe versie te krijgen, maar Ik geloof niets van een "complot-theorie" Maar 'apache' suggereert dat het alleen om MacOS gaat, ik neem aan dat log4j niet icm IIS gebruikt wordt? En eerlijk gezegd verwacht ik dan van Claris ook een patch of een update voor FMS18 en eerder. Edited December 14, 2021 by hans erik Quote
0 menno Posted December 14, 2021 Author Posted December 14, 2021 2 minutes ago, hans erik said: Maar 'apache' suggereert dat het alleen om MacOS gaat, ik neem aan dat log4j niet icm IIS gebruikt wordt? Het lijkt mij dat het niet slechts beperkt is tot MacOS, zoals gisteren nog werd verondersteld. FMServer heeft meen ik voor webdirect een tomcat-webserver die op java draait aan boord. Dat stuk staat denk ik los van de admin-server die al een tijdje helemaal geen gebruik maakt van java. Die gebruikt gewoon de "on-board" webserver van het OS (Windows, MacOS, Ubuntu). Quote
0 Banach Posted December 15, 2021 Posted December 15, 2021 (edited) Tomcat is niet kwetsbaar volgens de eerder genoemde link: Edited December 15, 2021 by Banach Quote
0 menno Posted December 16, 2021 Author Posted December 16, 2021 De link uit mijn vorige post is alweer vervallen (die post is nu verborgen), daarvoor is nu in de plaats gekomen deze: https://community.claris.com/en/s/article/Q-A-Claris-products-and-the-Apache-Log4j-vulnerability Dus zo te zien lijkt FMServer (ook de oudere pre-18 versies) dus helemaal niet te zijn getroffen door dit lek Quote
Question
menno
Er is bij sommige bedrijven veel te doen over deze kwetsbaarheid: https://threatpost.com/zero-day-in-ubiquitous-apache-log4j-tool-under-active-attack/176937/
Één van mijn klanten belde mij daar gisteren over, want die heeft 7 FM-servers draaien en hij wilde weten of hij iets moest doen.
In de FileMaker community bij Claris is er sinds Vrijdag een thread die er over gaat: https://community.claris.com/en/s/question/0D53w00005ZJYITCA5/is-claris-filemaker-server-current-or-past-versions-vulnerable-to-the-apache-log4j-zero-day
Vandaag heeft Claris erop gereageerd: https://community.claris.com/en/s/article/CVE-2021-44228-Apache-Log4j-Vulnerability-and-Claris-products
In een notedop: als je FMS19 gebruikt, zit je safe. Oudere versies van FMS kan je beter upgraden.
7 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.