Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

Recientemente se ha publicado una nueva actualización de seguridad para Log4j (CVE-2021-45105), la popular librería de registro de Java. Semanas atrás se publicaba los detalles y pruebas de concepto de la primera vulnerabilidad que permitía la ejecución remota de código, poniendo en riesgo millones de aplicaciones que hacen uso de la librería. 

Primero se lanzó la versión 2.15.0 para corregir las importantes vulnerabilidades que afectaban a esta librería. Posteriormente se lanzó la versión 2.16.0, que inicialmente fue ponderada con nivel bajo y podría provocar una denegación de servicio, sin embargo la vulnerabilidad escaló a nivel crítico, con una puntuación CVSS de 9.0 permitiendo la ejecución remota de código en ciertas configuraciones no predeterminadas.

Línea de tiempo (recursos afectados)

Mitigación

• Log4j 1.x no está afectado por esta vulnerabilidad
• Log4j 2.x (java 8 o superior) actualizar a la versión 2.17.0

Alternativamente puede ser mitigado realizando las siguientes configuraciones:

• En PatternLayout en la configuración del registro de log, reemplazar Context Lookups como ${ctx:loginId} o $${ctx:loginId} por patrones de Thread Context Map (%X, %mdc, or %MDC)
• De lo contrario, en la configuración quitar referencias a Context Lookups como ${ctx:loginId} o $${ctx:loginId} cuando se originan en fuentes externas a la aplicación, como las cabeceras HTTP o las entradas del usuario.

Recomendaciones

Instalar de forma urgente la última versión disponible para evitar problemas de seguridad, ya que la explotación exitosa de las vulnerabilidades críticas haría que el atacante tome el control total del servidor.

Referencias

Apache Log4j Security Vulnerabilities

Vulnerabilidad Crítica en Apache Log4j

Nueva vulnerabilidad en Log4j, actualización disponible!