Apache ha publicado una actualización de seguridad para abordar la vulnerabilidad CVE-2021-44832, de severidad media, con una puntuación de 6.6. La cual es vulnerable a un ataque de ejecución remota de código (RCE).
Las versiones afectadas del Apache Log4j van desde 2.0-alpha7 al 2.17.0, excepto 2.3.2 y 2.12.4.
Se recomienda actualizar Apache Log4j a las versiones 2.17.1 (Java 8), 2.12.4 (Java 7) y 2.3.2 (Java 6).
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2022/02/BOL-CERT-PY-2021-42_Nueva_vulnerabilidad_RCE_en_Apache_Log4j.pdf
- https://thehackernews.com/2021/12/new-apache-log4j-update-released-to.html
- https://www.bleepingcomputer.com/news/security/log4j-2171-out-now-fixes-new-remote-code-execution-bug/
- https://vuldb.com/?id.189422
- https://nvd.nist.gov/vuln/detail/CVE-2021-44832
- https://nvd.nist.gov/vuln/detail/CVE-2021-44228
- https://nvd.nist.gov/vuln/detail/CVE-2021-45105
- https://nvd.nist.gov/vuln/detail/CVE-2021-4104