Log4j-patch van Amazon maakte nieuwe beveiligingsgaten
Toen Amazon een oplossing uitbracht om de zwakke plekken in Log4j op AWS te patchen, maakte het daarbij aanpassingen die voor nieuwe kwetsbaarheden zorgen. Ook daar is nu een patch voor.
Log4j is een klein stukje open source software dat op veel plaatsen wordt gebruikt. In december raakte bekend dat er een zwakke plek in zat waardoor heel wat systemen wereldwijd snel een update moesten krijgen.
Ook Amazon deed dat voor haar AWS cloudomgeving, maar daarbij zijn per ongeluk andere veiligheidsproblemen ontstaan. Concreet is sinds de Log4j patch mogelijk om uit een container te geraken en roottoegang op de onderliggende server te krijgen. Op die manier krijgt een hacker bijvoorbeeld toegang tot andere containers en de apps die daarop draaien.
De nieuwe kwetsbaarheden krijgen de codes CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 en CVE-2022-0071 mee. Amazon raadt aan om ze zo snel mogelijk te installeren gezien het risico. De problemen werden ontdekt door Unit 24, een afdeling van Palo Alto Networks, die de werking ervan ook in een video aantonen.
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."
Fout opgemerkt of meer nieuws? Meld het hier