Onze respons op het Log4j veiligheidslek
Zoals je wellicht in het nieuws hebt gelezen, is er een aantal dagen geleden een ernstig veiligheidslek bekend geworden in de Log4j software. Deze software wordt door duizenden andere softwarepakketten en producten gebruikt, en de impact is daardoor zeer groot. We hebben bij XXL Hosting/Cloud Provider gelijk actie ondernomen toen dit lek bekend werd, welke we in deze blogpost met je delen. Als je een eigen VPS of container met eigen image bij ons hebt, kan het zijn dat er ook actie van jouw kant nodig is.
Impact op hostingdiensten bij XXL Hosting
Na het bekend worden van het lek, hebben we het afgelopen weekend al onze servers en systemen gecontroleerd of er gebruik werd gemaakt van de Log4j software. Dit was op twee systemen het geval:
- Het Mail XXL systeem: deze server maakt gebruik van Solr, die grote mailboxen indexeert en het doorzoeken van deze mailboxen sneller maakt. Solr maakt gebruik van Log4j. Onze control panel leverancier heeft dit weekend een patch beschikbaar gemaakt, welke we direct op onze server hebben toegepast. Solr is alleen voor ingelogde klanten beschikbaar, waardoor de kans op misbruik minimaal was. Desondanks hebben we de logbestanden gecontroleerd op eventueel misbruik, en geconstateerd dat dit niet het geval is geweest.
- Onze centrale logserver: deze server maakt gebruik van Graylog, en slaat een kopie van logbestanden van al onze hostingservers centraal op en maakt deze doorzoekbaar. Graylog maakt gebruik van Log4j. Graylog heeft hier een update voor uitgevoerd, welke we inmiddels op onze server hebben geinstalleerd. Omdat de logserver alleen via een intern netwerk te bereiken is, was de kans op misbruik minimaal. Desondanks hebben we de logbestanden gecontroleerd op eventueel misbruik, en geconstateerd dat dit niet het geval is geweest.
Ten slotte hebben we ook bij al onze leveranciers nagevraagd of ze gebruik maken van Log4j, en indien dat het geval is - actie hebben ondernomen om het veiligheidslek te dichten. Al onze leveranciers hebben inmiddels actie ondernomen, indien dat nodig was.
Impact op hostingdiensten bij Cloud Provider
De systemen en servers van Cloud Provider zelf maken geen gebruik van Log4j. Het kan echter wel voorkomen dat je als klant Log4j - al niet als onderdeel van een ander softwarepakket - hebt geinstalleerd op je VPS of container met eigen Docker image. We raden je aan om dit te controleren, en indien nodig zo spoedig mogelijk actie te ondernemen.
- Indien je een cPanel VPS hebt, is Log4j alleen in gebruik als je de Solr service aan hebt staan. Je kunt dit controleren door in WebHost Manager (WHM) naar de optie "Manage plugins" te gaan. Als je daar Solr kunt installeren, dan is het niet op je server actief. Als je Solr echter kunt deinstalleren, dan is het wel actief. In dat laatste geval kun je cPanel upgraden met de optie "Upgrade to latest version", zodat het lek gepatcht wordt.
- Voor alle overige VPS'en en containers met een eigen Docker image raden we aan om de informatievoorzieningen over dit lek te checken of je een softwarepakket gebruikt die afhankelijk is van Log4j. Als dat het geval is, is het erg belangrijk dat je je systeem zo snel mogelijk patcht - gezien de ernst van het veiligheidslek. Je kunt onder andere informatie vinden op:
Klik hier voor de informatie van Digitaaltrustcenter
Klik hier voor de informatie van Github
Update 15 december: nieuw lek in Log4j
Helaas is zojuist nog een ernstig lek gevonden in de Log4j software. In afwachting van het beschikbaar komen van een nieuwe patch, hebben we Solr tijdelijk uitgeschakeld op de Mail XXL server. Mocht je Solr zelf ook gebruiken op een cPanel VPS, dan raden we aan om hetzelfde te doen.
Meer informatie over het nieuwe lek kan gevonden worden op:
Update 16 december: tweede lek gepatcht
cPanel heeft inmiddels ook voor het tweede lek een patch uitgebracht. Deze hebben we op de Mail XXL server geinstalleerd, en Solr is weer ingeschakeld.
Meer informatie over deze patch van cPanel kun je vinden op: