esenfrdeitptru

CVE-2021-45046 Vulnerabilidad de denegación de servicio en sistemas que implementan la versión 2.15.0 de Log4J

AS-128-2021

Fecha: 15/Dic/2021

Resumen:


La vulnerabilidad crítica RCE de la librería Log4J, apodada Log4Shell, fue solventada con el parche 2.15.0 publicada por los desarrolladores. Sin embargo, pruebas de concepto posteriores demostraron que esta librería permitiría generar una denegación de servicios.

Con CVE-2021-45046, y una calificación de 3.7 (baja), se determina que Log4j 2.15.0 es una solución incompleta para ciertas instalaciones. El fallo permitiría que los atacantes tomen control de los datos ingresados a Thread Context Map (MDC) cuando la configuración de logging use patrones no estándares de Context Lookup o Thread Context Map para crear entradas maliciosas que usen JNDI resultando en una denegación de servicio.

Se recomienda la instalación de Log4j 2.16.0 que desactiva por defecto el uso de JNDI.

Referencias:

https://nvd.nist.gov/vuln/detail/CVE-2021-45046
http://www.openwall.com/lists/oss-security/2021/12/14/4
https://logging.apache.org/log4j/2.x/security.html
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
https://www.cve.org/CVERecord?id=CVE-2021-44228
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00646.html

Tlp Clear 2023