12 puntos por tkwlsrl 2021-12-11 | 7 comentarios | Compartir por WhatsApp

Se ha reportado una vulnerabilidad en log4j, el framework de logging de Java.

  • Versiones afectadas: 2.0 ~ 2.14.1

  • Versión corregida >= 2.15.0-rc1

  • Se recomienda aplicar parches a todos los sistemas que usan la biblioteca Apache log4j

  • Principales proyectos afectados

    • Apache Struts

    • Apache Solr

    • Apache Druid

    • Apache Flink

    • ElasticSearch

    • Flume

    • Apache Dubbo

    • Logstash

    • Kafka

    • Spring-Boot-starter-log4j2

7 comentarios

 
v08zbv8fvlkjasdflkj 2021-12-13

Ah, ¿log4j es una función que hace logging?

Por el puro nombre pensé que era math log4

 
xguru 2021-12-11

Es un error que permite la ejecución remota de código (RCE) cuando se registra contenido que incluye una cadena específica.

 
kunggom 2021-12-13

Por otro lado, parece que ya hay gente que está usando esta vulnerabilidad de seguridad para convertir servidores de Minecraft en servidores de Doom. ¡Rip and Tear!

https://twitter.com/gegy1000/status/1469714451716882434

 
budlebee 2021-12-13

jajajaja, hasta portearon Doom a un servidor de Minecraft..

 
xguru 2021-12-11

Como el alcance afectado es enormemente grande, en los medios coreanos andan vendiendo clics con titulares como «se descubrió la peor vulnerabilidad en la historia de la computación»...

 
kunggom 2021-12-11

Como entre los productos afectados hay muchos que cualquiera reconoce con solo escuchar el nombre, parece que el alcance del impacto tampoco es poca cosa.

La forma de reproducir la vulnerabilidad aparece en el artículo de abajo.

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit

https://pcmag.com/news/…

 
tkwlsrl 2021-12-11

En el caso de Spring Boot, es recomendable trabajar siguiendo el enlace de abajo.

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven

2.15.0

gradle

ext['log4j2.version'] = '2.15.0'