Vandaag is er een 0-day exploit ontdekt in de veelgebruikte Java-logging "log4j" die resulteert in een Remote Code Execution door een bepaalde string te loggen.
De impact van de exploit kan resulteren in volledige server controlle, gezien de moeilijkheids graad om dit uit te voeren mag deze kwetsbaarheid als groot worden beschouwd.

De --day werd vandaag met een POC op Github gepost.

Vele diensten zijn kwetsbaar voor deze exploid. Iedereen die Apache Struts gebruikt is waarschijnlijk kwetsbaar. Vooral Open source-projecten, zoals de Mine-craft server zijn al begonnen met het patchen van de exploid.

Voor meer informatie, hoe de exploid werkt, de voorkoming hier van kan je vinden in de bron: lunasec.io

Voor een update via Tweakers.

Duitsland bestempeld het als code rood.
Zorg dat je beveiliging op orde heb!

Hier vind je een lijst met de kwetsbare software en of er al een update beschikbaar is: Software Tree

Citaat van darkshifty

je was er snel bij, netjes!

zeker en ik zal jullie ook zeker op de hoogte proberen te houden, met alle artikelen die ik vind
De kwetsbaarheid wordt overal als zeer gevaarlijk bestempeld, dus zou mooi zijn als onze leden dit voor kunnen zijn

Nieuwe update via tweakers: Beveiligingsonderzoekers melden opnieuw kwetsbaarheid in log4j-library

Update vanuit NCSC