Se ha publicado un tercer parche de seguridad en los últimos 10 días debido a un fallo de recursión infinita puntuado con 7.5/10.
La Apache Software Foundation (ASF) ha revelado un tercer fallo en su librería de código abierto de Java Log4j.
El CVE-2021-45105 es un fallo de recursión infinita con una puntuación de 7.5 en una escala sobre 10. Está presente desde las versiones 2.0-alpha1 hasta la 2.16.0; habiéndose parcheado en la versión 2.17.0.
Esta es la tercera actualización de la herramienta en los diez últimos días debido a los recientes fallos de seguridad relacionados con Log4Shell.
El segundo fallo de seguridad parcheado fue el CVE-2021-45046, el cuál permitia a un atacante remoto tomar el control a través de Thread Context Map (MDC) para preparar entradas maliciosas usando el lookup de JNDI; siendo el resultado de éste la ejecución de código remoto, aunque no en todos los entornos.
Esta vulnerabilidad fue solucionada en la versión 2.16.0, pero se ha relevelado este último fallo de seguridad (CVE-2021-45105) que permite la explotación de la recursión de referencias a sí mismas entre lookups; pudiendo dejar al atacante fabricar entradas maliciosas que contengan lookups recursivos.
Esta vulnerabilidad puede ser explotada principalmente para provocar una excepción que fuerce la finalización del proceso con un código de error, de modo que podría ser aprovechado para la realización de un ataque de denegación de servicio.
Como siempre, se remarca la importancia de actualizar a la última versión de Log4j 2.17.0 en la cuál se resuelven los fallos de seguridad que tanto han dado que hablar los últimos días.
Más información:
Compártelo:
Publicaciones relacionadas
<!–
–>
Fuente obtenida de: https://unaaldia.hispasec.com/2021/12/apache-un-tercer-fallo-de-seguridad-en-log4j.html