ASF publica nuevos parches para contener falla en Log4j

Estimados Clientes,

El equipo de Ciberseguridad de Netglobalis informa que Apache Software Foundation (ASF) lanzó el martes nuevos parches para contener una falla de ejecución de código arbitrario en Log4j que podría ser abusada por los actores de amenazas para ejecutar código malicioso en los sistemas afectados, lo que la convierte en la quinta deficiencia de seguridad descubierta en la herramienta en el lapso de un mes.

Nombrada como CVE-2021-44832 , la vulnerabilidad tiene una severidad de 6.6 en una escala de 10 e impacta todas las versiones de la biblioteca de registro desde 2.0-alpha7 a 2.17.0 con la excepción de 2.3.2 y 2.12.4. Si bien las versiones 1.x de Log4j no se ven afectadas, se recomienda a los usuarios actualizar a Log4j 2.3.2 (para Java 6), 2.12.4 (para Java 7) o 2.17.1 (para Java 8 y posterior).

«Las versiones 2.0-beta7 a 2.17.0 de Apache Log4j2 (excluidas las versiones de corrección de seguridad 2.3.2 y 2.12.4) son vulnerables a un ataque de ejecución remota de código (RCE) donde un atacante con permiso para modificar el archivo de configuración de registro puede construir un configuración mediante un JDBC Appender de una fuente de datos con referencia a un URI JNDI que pueden ejecutar código remoto «, la ASF dijo en un aviso. «Este problema se soluciona limitando los nombres de las fuentes de datos JNDI al protocolo java en las versiones 2.17.1, 2.12.4 y 2.3.2 de Log4j2».

Con la última solución, los encargados del mantenimiento del proyecto han abordado un total de cuatro problemas en Log4j desde que la falla de Log4Shell salió a la luz a principios de este mes, sin mencionar una quinta vulnerabilidad que afecta a las versiones Log4j 1.2 que no se solucionará:

  • CVE-2021-44228(puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.14.1 (corregida en la versión 2.15.0)
  • CVE-2021-45046(puntuación CVSS: 9.0): una fuga de información y una vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.15.0, excluyendo 2.12.2 (corregido en la versión 2.16.0)
  • CVE-2021-45105(puntuación CVSS: 7.5): una vulnerabilidad de denegación de servicio que afecta a las versiones de Log4j de 2.0-beta9 a 2.16.0 (corregida en la versión 2.17.0)
  • CVE-2021-4104(puntuación CVSS: 8.1): una falla de deserialización no confiable que afecta a la versión 1.2 de Log4j (no hay solución disponible; actualice a la versión 2.17.1)

Mitigación:

Se recomienda a los usuarios y administradores que apliquen las actualizaciones necesarias para mitigar cualquier riesgo potencial de explotación por parte de actores malintencionados.

Enlaces:

https://logging.apache.org/log4j/2.x/download.html

 

Recent Posts