Log4j Kwetsbaarheid FAQ's voor LastPass

De officiële versie van deze content is in het Engels. Een deel van de GoTo-documentatie is met een machine vertaald om de toegangkelijkheid voor gebruikers te vergroten. GoTo heeft geen controle over de content die op deze manier is vertaald. De content kan daarom fouten, onnauwkeurigheden, of ongepaste taal bevatten. Er wordt geen garantie gegeven, noch expliciet noch impliciet, voor de nauwkeurigheid, betrouwbaarheid, geschiktheid of juistheid van een vertaling van het Engelse origineel naar een andere taal, noch kan GoTo verantwoordelijk worden gehouden voor schade of problemen die voortvloeien uit uw gebruik van deze machinaal vertaalde content of uw vertrouwen in deze content.

Hieronder vindt u belangrijke informatie over de Log4j-kwetsbaarheid.

Wat is de kwetsbaarheid?

Op vrijdag 10 december heeft een zero-day kwetsbaarheid in een veelgebruikte open-source logging tool, die deel uitmaakt van Apache Logging Services, genaamd Log4j, een aanzienlijke deel van de software-industrie getroffen.
Een tweede kwetsbaarheid in verband met Apache Log4j werd gevonden op dinsdag 14 december.
Met deze kwetsbaarheid is het voor de getroffen personen mogelijk dat een aanvaller toegang krijgt tot en controle krijgt over de logberichten of parameters van LDAP of andere Java Naming Directory Interface (JNDI) en vervolgens kan proberen code uit te voeren die van servers op afstand is geladen.

Heeft LastPass invloed?

Na het bekend worden van de kwetsbaarheid is LastPass een onderzoek gestart om te bepalen of verdere actie nodig is om de kwetsbaarheid te verhelpen. Dit onderzoek heeft op dit moment geen aanwijzingen voor een compromis gevonden en er is geen actie nodig voor de overgrote meerderheid van LastPass klanten.
Als onderdeel van het onderzoek heeft ons team een update uitgebracht voor LastPass MFA klanten die gebruik maken van de Universal Proxy op Windows met Debug logging ingeschakeld en deze klanten wordt ten zeerste aangeraden om de nieuwste versie van de Universal Proxy 3.0.3 of 4.1.3 te updaten.
Geen actie is vereist als u momenteel geen LastPass MFA-klant bent die de Universal Proxy op Windows gebruikt met Debug-logging ingeschakeld.

Wat is de LastPass Universal Proxy?

De LastPass Universal Proxy breidt het bereik van LastPass MFA uit naar toepassingen op locatie, zoals VPN's, voor een extra beveiligingslaag bij elke aanmelding.
Instructies voor het instellen van de Universal Proxy vindt u hier.

Moet ik iets doen?

LastPass Free, Premium, Families, Teams, en Business klanten hoeven geen actie te ondernemen.
LastPass MFA klanten die gebruik maken van de Universal Proxy op Windows met Debug logging ingeschakeld wordt ten zeerste aanbevolen om te updaten naar de nieuwste versie van de Universal Proxy 3.0.3 of 4.1.3.