Log4J presenta hasta el momento 4 vulnerabilidades y publica la versión 2.17.0 para solventarlas
AS-130-2021
Fecha: 20/Dic/2021
Resumen:
Log4J es una librería, mantenida de manera voluntaria y sin ánimo de lucro por algunos miembros de la comunidad, ampliamente utilizada por diferentes fabricantes de soluciones de software. Sin embargo, durante este mes ha tomado gran relevancia los fallos de seguridad que implementaba su código.
Entre los fallos conocidos hasta el momento se cuentan los siguientes:
- CVE-2021-44228 (CVSS: 10.0 CRITICO) - Fallo que permite la ejecución remota de código mediante JNDI, las versiones afectadas van desde la 2.0-beta9 hasta la 2.14.1, la versión que se liberó para su corrección fue la 2.15.0
- CVE-2021-45046 (CVSS: 9.0 CRITICO) - Fallo que filtraba información y permitía la ejecución remota de código, las versiones afectadas van desde la 2.0-beta9 hasta la 2.15.0, excluyendo a la versión 2.12.2, la versión que se liberó para su corrección fue la 2.16.0
- CVE-2021-45105 (CVSS: 7.5 ALTO) - Fallo de denegación de servicios, las versiones afectadas van desde la 2.0-beta9 hasta la 2.16.0, la versión que se liberó para su corrección fue la 2.17.0
- CVE-2021-4104 (CVSS: 8.1 ALTO) - Fallo que permite deserializar objetos no confiables, la versión afectada es la 1.2 misma que esta en EOL, es importante actualizarla a la versión 2.17.0
Adicionalmente, investigaciones adicionales demuestran que el exploit Log4Shell puede ser aprovechado mediante conexiones JavaScript WebSocket, Y, aunque no se conoce de una explotación activa utilizando este método, si se reconoce que esto amplia el campo de acción de los atacantes.
Es importante seguir el pulso de los fabricantes que implementan esta librería para conocer el estado de los parches que liberen, en desarrollos locales se recomienda actualizar a la versión 2.17.0, o aplicar las mitigaciones respectivas.
Referencia:
https://thehackernews.com/2021/12/new-local-attack-vector-expands-attack.html