Nuevas vulnerabilidades identificadas que afectan a Log4j

20/12/2021 Noticias 0

El día jueves 9 de diciembre, se descubrió una vulnerabilidad crítica identificada como CVE-2021-44228 la cual afecta directamente a una librería de Apache llamada Log4j. Esta vulnerabilidad no solo afecta a servidores web dedicados, sino que también a múltiples aplicativos que utilizan esta librería para el manejo de sus logs. Comúnmente es utilizada en Software basado en Java EE, servidores web Apache y Aplicaciones compiladas con Spring-Boot, entre otras.

El día martes 14 de diciembre se descubrió la segunda vulnerabilidad, identificada como CVE-2021-45046 de severidad crítica, que afecta a la versión 2.15.0 de Log4j, esta vulnerabilidad es ocasionada por el parche incompleto distribuido para la CVE-2021-44228, el cual permitiría crear datos de entradas maliciosos utilizando el patrón de búsqueda JNDI. La explotación exitosa de esta vulnerabilidad permitiría a un atacante realizar un ataque de denegación de servicio (DoS) y ataques de ejecución remota de código (RCE).

Posteriormente el día sábado 18 de diciembre salió a luz la tercera vulnerabilidad, identificada como CVE-2021-45105 de severidad alta, que afecta a las versiones de Apache Log4j2 2.0-alpha1 a 2.16.0, esta se debe a una falla de protección de la recursividad incontrolada de búsquedas autorreferenciales, los atacantes con control sobre los datos de entrada de Thread Context Map (MDC) pueden crear datos de entrada maliciosos que contienen una búsqueda recursiva, lo que daría como resultado un StackOverflowError que terminará el proceso, ocasionando un DoS (Denial of Service).

Debido al descubrimiento de las nuevas vulnerabilidades y el lanzamiento de los parches que corrigen las vulnerabilidades hemos realizado una actualización constante al Boletín N° 2021-36 publicado el día jueves 16 de diciembre.

Detección:

Para comprobar si su aplicación se encuentra afectada, puede utilizar las siguientes herramientas:

Recomendaciones:

Referencias:

Compartir: