CVE-2021-44228 vulnerabilidad de ejecución remota de código que afecta a sistemas que implementan Log4J
AS-124-2021
Fecha: 10/Dic/2021
Resumen:
El equipo de seguridad informática de la nube de Alibaba notifico el 24 de noviembre sobre un fallo que afecta al componente Log4J utilizado en varias soluciones informáticas empresariales y de casa. Etiquetado con CVE-2021-44228 y con un puntaje de 9.8(Crítico) según CVSS3.1, el fallo permite a un atacante no autenticado ejecutar código de manera remota.
El software de Apache incluyendo Apache Struts2, Apache Solr, Apache Druid, Apache Flink, entre otros, depende del componente Log4J; pero, también soluciones de Apple, Amazon, Cloudflare, Twitter, y Steam son potencialmente vulnerables.
Las versiones afectadas son >= 2.0-beta9 y <= 2.14.1, las versiones 1.x no están afectadas.
Como mitigatión se propone actualizar a la versión 2.15.0 o modificar la propiedad log4j2.formatMsgNoLookups con el valor true. Adicionalmente, se puede remover la clase JndiLookup del classpath.
Al momento se conoce que circulan exploits para aprovechar este fallo.
Referencias:
https://github.com/advisories/GHSA-jfh8-c2jp-5v3q