Información
Se envía la siguiente actualización para informar que se ha publicado una nueva versión de Log4j, 2.17.1, en la cual se corrige una nueva vulnerabilidad detectada (CVE-2021-44832) de tipo ejecución de código remoto (RCE).
Esta vulnerabilidad que afecta a las versiones 2.0-beta7 hasta la 2.17.0, excluyendo las versiones 2.3.2 (Java 6) y 2.12.4 (Java 7), permitiría un ataque de ejecución de código remoto (RCE) a un atacante con permisos de modificación del fichero de configuración del log. Este atacante podría crear una configuración maliciosa usando un JDBC Appender con una fuente de datos que haga referencia a una URI JNDI que pueda ejecutar código remoto. Este fallo se ha resuelto en las versiones 2.17.1, 2.12.4 y 2.3.2 limitando los nombres de fuentes de datos JNDI al protocolo de JAVA de Log4j.
Recomendaciones
Para mitigar esta vulnerabilidad, se recomienda actualizar las versiones de la librería a la más reciente posible:
-
-
- Log4j v2.17.1 (para Java 8 y posterior)
- Log4j v2.12.4 (para Java 7)
- Log4j v2.3.2 (para Java 6)
-
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2021-44832
https://logging.apache.org/log4j/2.x/security.html