CVE-2021-44228 – log4j - Reporte de vulnerabilidad
(unit42.paloaltonetworks.com)Se ha reportado una vulnerabilidad en log4j, el framework de logging de Java.
-
Versiones afectadas: 2.0 ~ 2.14.1
-
Versión corregida >= 2.15.0-rc1
-
Se recomienda aplicar parches a todos los sistemas que usan la biblioteca Apache log4j
-
Principales proyectos afectados
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 comentarios
Ah, ¿log4j es una función que hace logging?
Por el puro nombre pensé que era math log4
Es un error que permite la ejecución remota de código (RCE) cuando se registra contenido que incluye una cadena específica.
Por otro lado, parece que ya hay gente que está usando esta vulnerabilidad de seguridad para convertir servidores de Minecraft en servidores de Doom. ¡Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
jajajaja, hasta portearon Doom a un servidor de Minecraft..
Como el alcance afectado es enormemente grande, en los medios coreanos andan vendiendo clics con titulares como «se descubrió la peor vulnerabilidad en la historia de la computación»...
Como entre los productos afectados hay muchos que cualquiera reconoce con solo escuchar el nombre, parece que el alcance del impacto tampoco es poca cosa.
La forma de reproducir la vulnerabilidad aparece en el artículo de abajo.
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
En el caso de Spring Boot, es recomendable trabajar siguiendo el enlace de abajo.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'