Apache un tercer fallo de seguridad en Log4J Hispasec @unaaldia

Tabla de contenido

Se ha publicado un tercer parche de seguridad en los últimos 10 días debido a un fallo de recursión infinita puntuado con 7.5/10.

La Apache Software Foundation (ASF) ha revelado un tercer fallo en su librería de código abierto de Java Log4j.

El CVE-2021-45105 es un fallo de recursión infinita con una puntuación de 7.5 en una escala sobre 10. Está presente desde las versiones 2.0-alpha1 hasta la 2.16.0; habiéndose parcheado en la versión 2.17.0.

Esta es la tercera actualización de la herramienta en los diez últimos días debido a los recientes fallos de seguridad relacionados con Log4Shell.

El segundo fallo de seguridad parcheado fue el CVE-2021-45046, el cuál permitia a un atacante remoto tomar el control a través de Thread Context Map (MDC) para preparar entradas maliciosas usando el lookup de JNDI; siendo el resultado de éste la ejecución de código remoto, aunque no en todos los entornos.

Esta vulnerabilidad fue solucionada en la versión 2.16.0, pero se ha relevelado este último fallo de seguridad (CVE-2021-45105) que permite la explotación de la recursión de referencias a sí mismas entre lookups; pudiendo dejar al atacante fabricar entradas maliciosas que contengan lookups recursivos.

Esta vulnerabilidad puede ser explotada principalmente para provocar una excepción que fuerce la finalización del proceso con un código de error, de modo que podría ser aprovechado para la realización de un ataque de denegación de servicio.

Como siempre, se remarca la importancia de actualizar a la última versión de Log4j 2.17.0 en la cuál se resuelven los fallos de seguridad que tanto han dado que hablar los últimos días.

Más información:

<!–
–>
Fuente obtenida de: https://unaaldia.hispasec.com/2021/12/apache-un-tercer-fallo-de-seguridad-en-log4j.html

INFORMACION DEL PUBLICADOR
Picture of Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.