En las últimas semanas hemos visto importantes vulnerabilidades que afectan a Log4j, la popular librería de registro de Java. Esto pone en riesgo a millones de servidores, por lo que los administradores tuvieron que actualizar lo antes posible para solventar los problemas. La cuestión es que pocos días después tuvieron que sacar una segunda actualización para corregir nuevos problemas. Y sí, en este artículo nos hacemos eco de una más, por lo que los usuarios deben instalar nuevamente parches.
2.17.0, el nuevo parche para Log4j
Primero lanzaron la versión 2.15.0 para corregir las importantes vulnerabilidades que afectaban a esta librería. Posteriormente lanzaron 2.16.0 y, en este caso, la versión 2.17.0. Se trata de una vulnerabilidad de denegación de servicios (DoS) que debe ser corregida. Ha sido registrada como CVE-2021-45105.
No obstante, hay que mencionar que ha sido calificada como de menor gravedad, aunque sigue siendo alta. Eso sí, igualmente es fundamental que los usuarios actualicen lo antes posible y eviten así problemas que pongan en riesgo sus dispositivos y el buen funcionamiento.
Este problema ha sido detectado después de que se descubriera que la versión 2.15.0 era vulnerable a posibles ataques DoS y que, posteriormente, afectaba también a la versión 2.16.0. Este fallo surgió en el proyecto JIRA, de Apache. Esto hizo que Apache lanzara una nueva vulnerabilidad registrada como CVE-2021-45105, con una puntuación de peligrosidad de 7,5.
Según indican en la nota informativa, “las versiones 2.0-alpha1 a 2.16.0 de Apache Log4j2 no protegieron de la recursividad incontrolada de las búsquedas autorreferenciales”.
Importante instalar la última versión
Una vez más, resulta imprescindible instalar la última versión disponible para evitar problemas de seguridad. En este caso se trata de la versión 2.17.0. Este parche ya ha sido lanzado y permite que las cadenas de búsqueda en la configuración se expandan de forma recursiva.
Este problema aparece justo cuando Google ha indicado que más de 35.000 paquetes de Java tienen defectos de Log4j. La mayoría de ellos usan estos paquetes de forma indirecta y esto hace que no todos los desarrolladores puedan tener una visibilidad clara de su software.
Incluso desde Google afirman ser pesimistas en el tiempo de dar por finalizado todo este asunto. Creen que faltan años antes de que las vulnerabilidades de Log4j se eliminen por completo de todos los paquetes de Java. Esto hace que los piratas informáticos tengan una gran oportunidad para apuntar a servidores vulnerables, donde poder colar malware o ransomware.
La mejor opción que tenemos para corregir estos problemas y evitar ser víctimas de ataques cibernéticos de este tipo es instalar las últimas versiones. En este caso se trata de agregar la versión 2.17.0 y corregir este problema específico, pero es algo que debemos aplicar en cualquier circunstancia. Siempre debemos contar con las últimas actualizaciones del sistema operativo, navegador o cualquier programa que utilicemos.
Aunque a veces puedan surgir problemas de conexión tras una actualización, siempre debemos verificar que contamos con esas últimas versiones disponibles y que nuestros dispositivos realmente están protegidos para poder navegar por la red con garantías y poner las cosas lo más difíciles posible a los piratas informáticos.
Fuente obtenida de: https://www.redeszone.net/noticias/seguridad/log4j-vulnerabilidad-nueva-actualizacion/