Log4j kwetsbaarheid en reactie van Dcreative

Afgelopen zaterdag (11 december 2021) maakte het NCSC een kwetsbaarheid bekend in het veelgebruikte Log4j. Deze heeft geen gevolgen de producten van Dcreative, waaronder Hosting, kerkwebsite, zaaksite, clubsite en maatwerk webdevelopment. In dit bericht een korte samenvatting en uitleg naar aanleiding van vragen.

Dec 14, 2021 17:34 Gepubliceerd op

Dcreative werkt met persoonsgegevens en beheert persoonsgegevens voor klanten. Het kan hier gaan om hosting of om diensten zoals zaaksite, clubsite en kerkwebsite. Het is voor Dcreative gebruikelijk om bij security events een analyse te doen van de kwetsbaarheid van producten en systemen van Dcreative en klanten van Dcreative. Omdat Dcreative goede backups heeft en systemen gemakkelijk opnieuw kan opbouwen is downtime een minder groot risico. Er wordt om die reden bij security events in eerste plaats aandacht besteed aan de veiligheid van persoonsgegevens.

In de veelgebruikte Java library Log4j is een beveiligingslek geconstateerd. Deze library word in veel software gebruikt voor het wegschrijven van logbestanden. De kwetsbaarheid van Log4j heeft geen gevolgen voor de betrouwbaarheid van de diensten die Dcreative levert. Hieronder een korte analyse per dienst van Dcreative.

Maatwerk websiteontwikkeling. De maatwerk ontwikkeling van Dcreative wordt vrijwel uitsluitend uitgevoerd in PHP en is dus niet gevoelig voor het beveiligingsprobleem in Log4j. De websites van alle klanten die gebruik maken van Dcreative updates en doorontwikkeling zijn geïnventariseerd voor de Log4j gevoeligheid, dit was eenvoudig, al deze websites gebruiken PHP.
Hosting Het hosting platform van Dcreative, D2host, maakt geen gebruik van software waarin Log4j gebruikt word. Log4j is een java library en Dcreative hosting maakt in het algemeen al erg weinig gebruik van Java.
Kerkwebsite. Kerkwebsite werkt met gevoelige persoonsgegevens en werd dus als eerste gecontroleerd. Voor de hosting van kerkwebsite wordt D2host gebruikt, deze is dus niet gevoelig voor Log4j. De kerkwebsite webapplicatie maakt net als Dcreative maatwerk geen gebruik van Java en dus ook niet van Log4j.
Zaaksite. Zaaksite is qua opzet identiek aan kerkwebsite.
Clubsite. Clubsite is qua opzet identiek aan kerkwebsite.

Op het moment ziet Dcreative dus geen reden om in te grijpen in de dienstverlening, de verwachting is ook niet dat dit nodig zal zijn. Heb je vragen over de Log4j kwetsbaarheid in de Dcreative dienstverlening neem dan contact op.

Het is voor Dcreative niet gebruikelijk om te reageren op separate security events. Vanwege de grote aandacht voor en verstrekkende gevolgen van de Log4j kwetsbaarheid en vragen die gesteld zijn door klanten is besloten om in dit geval een korte uitleg te publiceren.

Tijdlijn

Dinsdag 14 December. Naar aanleiding van gestelde vragen wordt een korte uitleg per dienst van Dcreative beschikbaar gesteld.
Maandag 13 December. Op basis van tooling die onderhand beschikbaar is gekomen doet Dcreative een uitgebreidere analyse, met name in de D2hosting infrastructuur, en stelt vast dat er geen reden is tot verder ingrijpen.
Zaterdag 11 December. Dcreative doet eerste analyse en stelt vast dat geen Dcreative diensten geraakt worden door de Log4j kwetsbaarheid.
Zaterdag 11 December. NCSC maakt bekend dat er een kwetsbaarheid is in Log4j en begint met het bijhouden van veelgebruikte software die hierdoor geraakt word.

Relevante links

Uitleg NCSC: https://www.ncsc.nl/actueel/nieuws/2021/december/10/ernstige-kwetsbaarheid-in-apache-log4j
Beveiligingsadvies NCSC: https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052
Overzicht met geraakte software en te nemen stappen: https://github.com/NCSC-NL/log4shell/tree/main/software