• 16 diciembre, 2021

VULNERABILIDAD DE RCE EN APACHE LOG4J | CVE-2021-44228

Vulnerabilidad crítica CVE-2021-44228 en la biblioteca Apache Log4j (nivel de gravedad CVSS 10 de 10). La amenaza, también denominada Log4Shell o LogJam, es una vulnerabilidad de clase de ejecución remota de código (RCE). Si un atacante logra explotarlo en un servidor vulnerable, obtiene la capacidad de ejecutar código arbitrario y potencialmente tomar el control total del sistema.

Criticidad:

  • Crítica
  • Vulnerabilidad:

    • CVE-2021-44228

    Productos Afectados:

    • Apache Struts
    • Apache Solr
    • Apache Druid
    • Apache Flink
    • ElasticSearch
    • Flume
    • Apache Dubbo
    • Logstash
    • Kafka
    • Spring-Boot-starter-log4j2
    • Entre otros

    Solución:

    • Los usuarios de Java 8 (o posterior) deben actualizar a la versión 2.16.0.
    • Los usuarios que requieran Java 7 deben actualizar a la versión 2.12.2 cuando esté disponible (trabajo en progreso, se espera que esté disponible pronto).
    • De lo contrario, elimine la clase JndiLookup de la ruta de clases: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup.class

    Referencias:


    Échele un vistazo a otras novedades que pudieran ser de su interés