Apache Software Foundation (ASF) lanzó nuevos parches el martes que contienen un error de ejecución de código arbitrario en Log4j que podría ser aprovechado por los actores de amenazas para ejecutar código malicioso en los sistemas afectados, una quinta falla de seguridad encontrada en la herramienta. lapso del mes.

La vulnerabilidad se rastrea como CVE-2021-44832 y tiene una calificación de 6.6 en una escala de 10 y afecta a todas las versiones de la biblioteca de registro desde 2.0-alpha7 a 2.17.0 excepto 2.3.2 y 2.12.4. Aunque las versiones de Log4j 1.x no se ven afectadas, se recomienda a los usuarios que actualicen a Log4j 2.3.2 (para Java 6), 2.12.4 (para Java 7) o 2.17.1 (para Java 8 y posterior).

Apache Log4j2 versiones 2.0-beta7 a 2.17.0 (excepto las correcciones de seguridad 2.3.2 y 2.12.4) son vulnerables a la ejecución remota de código (RCE), donde un atacante con permiso para modificar el archivo de configuración de registro puede crear configuraciones maliciosas usando el JDBC Appender con la fuente de datos que hace referencia a un URI JNDI que puede ejecutar código remoto «, dijo ASF en una advertencia. «Este problema se resuelve restringiendo los nombres de las fuentes de datos JNDI a Java en las versiones 2.17.1, 2.12.4 y 2.3.2 de Log4j2».

Aunque ASF no ha otorgado ningún premio por este tema, el investigador de seguridad Checkmarx Yaniv Nizry crédito reclamado por informar de la vulnerabilidad de Apache el 27 de diciembre.

«La complejidad de esta vulnerabilidad es mayor que la del CVE-2021-44228 original porque requiere que un atacante tenga control sobre la configuración», dijo Nizry. «A diferencia de Logback, Log4j tiene una función para cargar un archivo de configuración remota o para configurar el registrador usando código, por lo que la ejecución de cualquier código se puede lograr usando [an] Ataque MitM, entrada del usuario que termina en una variable de configuración vulnerable o modificación de un archivo de configuración «.

Con la última solución, los administradores del proyecto han abordado un total de cuatro problemas de Log4j desde que apareció el error de Log4Shell a principios de este mes, sin mencionar la quinta vulnerabilidad que afecta a Log4j 1.2, que no se solucionará:

• CVE-2021-44228 (Puntuación CVSS: 10.0) – Vulnerabilidad en la ejecución remota de código que afecta a las versiones 2.0-beta9 a 2.14.1 de Log4j (corregida en la versión 2.15.0)
• CVE ‑ 2021‑45046 (Puntuación CVSS: 9.0) – Vulnerabilidad y ejecución remota de código que afecta a las versiones 2.0-beta9 a 2.15.0 de Log4j, excepto 2.12.2 (corregido en la versión 2.16.0)
• CVE-2021-45105 (Puntuación CVSS: 7.5) – Vulnerabilidad de denegación de servicio que afecta a las versiones 2.0-beta9 a 2.16.0 de Log4j (corregida en la versión 2.17.0)
• CVE-2021-4104 (Puntuación CVSS: 8.1) – Error de deserialización no confiable que afecta a Log4j versión 1.2 (no hay solución disponible; actualice a la versión 2.17.1)

Este desarrollo también se produce cuando las agencias de inteligencia de Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos emitieron una advertencia común contra la explotación masiva de numerosas vulnerabilidades en la biblioteca de software Log4j de Apache por parte de adversarios criminales.