Informació
S’envia la següent actualització per a informar que s’ha publicat una nova versió Log4j, 2.17.1, en la qual es corregeix una nova vulnerabilitat detectada (CVE-2021-44832) de tipus execució de codi remot (RCE).
Aquesta vulnerabilitat que afecta les versions 2.0-beta7 fins a la 2.17.0, excloent les versions 2.3.2 (Java 6) i 2.12.4 (Java 7), permetria un atac d’execució de codi remot (RCE) a un atacant amb permisos de modificació del fitxer de configuració del log. Aquest atacant podria crear una configuració maliciosa usant un JDBC Appender amb una font de dades que faça referència a una URI JNDI que puga executar codi remot. Aquesta fallada s’ha resolt en les versions 2.17.1, 2.12.4 i 2.3.2 limitant els noms de fonts de dades JNDI al protocol de JAVA de Log4j.
Recomanacions
Per a mitigar aquesta vulnerabilitat, es recomana actualitzar les versions de la llibreria a la més recent possible:
-
-
- Log4j v2.17.1 (per a Java 8 i posterior)
- Log4j v2.12.4 (per a Java 7)
- Log4j v2.3.2 (per a Java 6)
-
Referències
https://nvd.nist.gov/vuln/detail/CVE-2021-44832
https://logging.apache.org/log4j/2.x/security.html