Alerta de Seguridad Cibernética | Vulnerabilidad severa en Apache Log4J 2
El CSIRT de Gobierno advierte de una vulnerabilidad severa que afecta a múltiples versiones (2.0 a 2.14.1) de la utilidad Apache Log4j 2, la cual está comenzando a ser explotada activamente.
El CSIRT de Gobierno, advierte de una vulnerabilidad severa que afecta a múltiples versiones (2.0 a 2.14.1) de la utilidad Apache Log4j 2. Conoce los fabricantes que se vieron afectados en sus productos.
Log4j 2 es una biblioteca de registro de Java de código abierto desarrollada por Apache Foundation y se utiliza en diversas aplicaciones web y servicios en la nube. De acuerdo a lo informado, la vulnerabilidad permite la ejecución remota de código (RCE) no autenticado en sistemas con Log4j 2.0-beta9 hasta 2.14.1.
La vulnerabilidad fue registrada como CVE-2021-44228 y denominada Log4Shell, y ya cuenta con la última versión disponible (2.16.0), la cual modifica la conducta por defecto que permitía explotar esta vulnerabilidad.
El CSIRT de Gobierno recomienda realizar esta actualización lo antes posible. El informe con su respectiva mitigación lo pueden encontrar en el siguiente enlace: https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00531-01/.
Es importante enfatizar que esta es una mitigación temporal, a la espera de un parche definitivo por parte de los desarrolladores.
Por su parte, los proveedores que integran esta biblioteca entregaron en sus sitios web una evaluación de sus productos afectados. Estos son: