Ga naar inhoud
  • 0

Apache zero-day kwetsbaarheid Log4j

menno

Gevraagd door menno,

Vraag

menno

menno

Geplaatst:
Geplaatst:

Er is bij sommige bedrijven veel te doen over deze kwetsbaarheid: https://threatpost.com/zero-day-in-ubiquitous-apache-log4j-tool-under-active-attack/176937/ 

Één van mijn klanten belde mij daar gisteren over, want die heeft 7 FM-servers draaien en hij wilde weten of hij iets moest doen.

In de FileMaker community bij Claris is er sinds Vrijdag een thread die er over gaat: https://community.claris.com/en/s/question/0D53w00005ZJYITCA5/is-claris-filemaker-server-current-or-past-versions-vulnerable-to-the-apache-log4j-zero-day

Vandaag heeft Claris erop gereageerd: https://community.claris.com/en/s/article/CVE-2021-44228-Apache-Log4j-Vulnerability-and-Claris-products

In een notedop: als je FMS19 gebruikt, zit je safe. Oudere versies van FMS kan je beter upgraden.

Link naar reactie

7 antwoorden op deze vraag

Aanbevolen berichten

  • 0
Banach

Banach

Geplaatst:
Geplaatst:

Eerlijk gezegd lijkt mij dit een goedkope truuk om meer licenties FM19 te verkopen. FMS19 is immers al een tijdje beschikbaar terwijl die log4j kwetsbaarheid pas deze week naar buiten is gekomen. Wisten ze tijdens het ontwikkelen van FMS19 al dat deze kwetsbaarheid bestaat en hebben ze het gat gedicht zonder de rest van de wereld dat te vertellen en ook de gebruikers van  FMS18 en ouder niet te waarschuwen?

Link naar reactie
  • 0
menno

menno

Geplaatst:
  • Auteur
Geplaatst:

De huidige versie van log4j in apache in 2.16 (13-12-2021). De kwetsbaarheid is in versie 2.15 (6-12-2021) gepatched en de laatste release die de kwetsbaarheid bevat is 2.14 (3-6-2021). 

Als ik het goed heb begrepen gebruikt FMS19 log4j niet, maar in FMS18 nog wél in webdirect (maar ik ken de details niet).

Het zou inderdaad een mooie gelegenheid kunnen zijn om "upgrade-twijfelaars" aan de nieuwe versie te krijgen, maar Ik geloof niets van een "complot-theorie"

Link naar reactie
  • 0
hans erik

hans erik

Geplaatst:
Geplaatst: (aangepast)
59 minutes ago, menno said:

De huidige versie van log4j in apache in 2.16 (13-12-2021). De kwetsbaarheid is in versie 2.15 (6-12-2021) gepatched en de laatste release die de kwetsbaarheid bevat is 2.14 (3-6-2021). 

Als ik het goed heb begrepen gebruikt FMS19 log4j niet, maar in FMS18 nog wél in webdirect (maar ik ken de details niet).

Het zou inderdaad een mooie gelegenheid kunnen zijn om "upgrade-twijfelaars" aan de nieuwe versie te krijgen, maar Ik geloof niets van een "complot-theorie"

Maar 'apache' suggereert dat het alleen om MacOS gaat, ik neem aan dat log4j niet icm IIS gebruikt wordt?

En eerlijk gezegd verwacht ik dan van Claris ook een patch of een update voor FMS18 en eerder.

aangepast door hans erik
Link naar reactie
  • 0
menno

menno

Geplaatst:
  • Auteur
Geplaatst:
2 minutes ago, hans erik said:

Maar 'apache' suggereert dat het alleen om MacOS gaat, ik neem aan dat log4j niet icm IIS gebruikt wordt?

Het lijkt mij dat het niet slechts beperkt is tot MacOS, zoals gisteren nog werd verondersteld. FMServer heeft meen ik voor webdirect een tomcat-webserver die op java draait aan boord.

Dat stuk staat denk ik los van de admin-server die al een tijdje helemaal geen gebruik maakt van java. Die gebruikt gewoon de "on-board" webserver van het OS (Windows, MacOS, Ubuntu).

Link naar reactie

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Beantwoord deze vraag...

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
Ga naar vragenoverzicht
×
×
  • Nieuwe aanmaken...