log4j vulnerability

Abusimbal · 21 dec 2021, 16:46

Is het goed om een topic te starten over de log4j vulnerability om te discussiëren of dingen te melden ?

Na versie 2.15.0, 2.16.0 is er nu al versie 2.17.0, ze vinden telkens nieuwe dingen.

EDIT
Site gevonden met een overzicht:
https://www.zyxware.com/article/which-s ... nerability

joriz · 25 dec 2021, 17:35

Volgende tool gebruik ik om eigen systemen te scannen: https://github.com/fullhunt/log4j-scan

yaris · 26 dec 2021, 01:19

joriz schreef:Volgende tool gebruik ik om eigen systemen te scannen: https://github.com/fullhunt/log4j-scan

Bedankt voor de link. Ziet er een hele deftige tool uit.
Wij zitten vnl op azure en MS heeft ons al doorgestuurd waar log4j zit in onze systemen. Die hebben dus complete access ...
Ik ben wel verschoten waar het overal inzit ... . We hadden 1 docker over het hoofd gezien met een installatie van solr ... zat er ook in.
Dit gaat echt zwaar knallen de komende maanden / jaren als je rekening houdt dat vele systemen amper een update krijgen.

8balljunkie · 26 dec 2021, 11:46

In alle librarys zitten lekken herinner maar openssl.
Het beste wat je kan doen zijn vulnerability scanners op jou code los te laten, wij gebruiken die van github die automatisch een pull request openzet en met github actions worden automatisch je testen gedraaid, zo kan je snel op de bal spelen.