Otra vulnerabilidad encontrada en Log4j, esta vez es una denegación de servicio

another Log4j vulnerability

Log4Shell, descubierto recientemente en la popular biblioteca de registro Log4j, que es parte del Proyecto Apache Logging, sigue empeorando, ya que se ha encontrado otra vulnerabilidad. Esta vez le toca el turno a una vulnerabilidad de “denegación de servicio”.

El problema fue descubierto originalmente mientras detecta errores en los servidores de Minecraft, pero la biblioteca Log4j está presente en casi todas las aplicaciones corporativas y servidores Java.. Por ejemplo, se puede encontrar en casi todos los productos empresariales lanzados por Apache Software Foundation., incluyendo puntales Apache, Apache Flink, Druida apache, Canal Apache, apache solr, Apache Kafka, apache dubbo. Log4j también se utiliza activamente en proyectos de código abierto como Redis., búsqueda elástica, Logstash elástico o hidra.

Yo también dije que La vulnerabilidad de Log4j amenaza 35,000 paquetes java.

De este modo, Las empresas que utilizan cualquiera de estos productos también son indirectamente vulnerables a los ataques a Log4Shell., aunque tal vez ni siquiera lo sepan. Los expertos en seguridad de la información advirtieron de inmediato que las soluciones de gigantes como Apple, Amazonas, Gorjeo, Llamarada de nube, Vapor, Tencent, Baidu, HICE, J.D., NetEase, y probablemente miles de otras empresas podrían ser vulnerables a Log4Shell.

La forma en que funciona Log4Shell es simple: la vulnerabilidad obliga a las aplicaciones y servidores basados ​​en Java que utilizan la biblioteca Log4j a registrar una cadena específica. Cuando una aplicación o servidor procesa dichos registros, una cadena puede hacer que el sistema vulnerable cargue y ejecute un script malicioso desde el dominio controlado del atacante. El resultado será un secuestro completo de la aplicación o servidor vulnerable., y el ataque puede desarrollarse más.los expertos dijeron.

Anteriormente se reveló que el primer parche para el problema original CVE-2021-44228 (versión 2.15) solo introdujo una nueva vulnerabilidad RCE CVE-2021-45046 a Log4j, que recibió 9 señala de 10 en la escala de calificación de vulnerabilidad CVSS.

Debido a esto, Se recomienda encarecidamente a los administradores que utilicen sólo la versión actual. 2.16 y seguir la evolución de la situación Página de actualización de Log4j. El caso es que en la versión Log4j 2.15, Se encontraron dos vulnerabilidades más menos peligrosas. (CVE-2021-4104 y CVE-2021-42550), que también fueron eliminados sólo con el lanzamiento de la versión 2.16.

Desgraciadamente, versión 2.16 tampoco duró mucho. Fin de semana pasado, Versión log4j 2.17 fue lanzado, como una denegación grave de servicio (Del) Se detectó un problema en la última versión., que recibió el identificador CVE-2021-45105 (7.5 en la escala CVSS). El error está relacionado con el hecho de que Log4j no siempre protege contra la recursividad infinita durante la evaluación de búsqueda..

Al mismo tiempo, Los expertos instan a no entrar en pánico y no apresurarse a abandonar el uso de Log4j..

No debería sorprender que se estén descubriendo vulnerabilidades adicionales en Log4j., dado el mayor enfoque en la biblioteca. Asimismo, El descubrimiento de una vulnerabilidad PrintNightmare durante el verano resultó en el descubrimiento de muchos problemas individuales adicionales.. El descubrimiento de vulnerabilidades adicionales en Log4j no debería generar preocupaciones sobre la seguridad de la biblioteca en sí.. De hecho, Log4j es más seguro debido a la atención adicional que le están prestando los investigadores.comentó Jake Williams., CTO y cofundador de BreachQuest

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *