CVE-2021-44228 – log4j - Relato de vulnerabilidade
(unit42.paloaltonetworks.com)Foi relatada uma vulnerabilidade no log4j, um framework de logging para Java.
-
Versões afetadas: 2.0 ~ 2.14.1
-
Versão corrigida >= 2.15.0-rc1
-
Recomenda-se aplicar patches em todos os sistemas que utilizam a biblioteca Apache log4j
-
Principais afetados
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 comentários
Ah, então o log4j é uma função de logging?
Só pelo nome, achei que fosse math log4
É um bug que permite Remote Code Execution (RCE) quando um conteúdo contendo determinada string é registrado em log.
Enquanto isso, parece que já tem gente usando essa vulnerabilidade de segurança para transformar servidores de Minecraft em servidores de Doom. Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
kkkkkk até portar Doom para servidor de Minecraft...
Como o alcance afetado é enorme, a imprensa nacional está até fazendo caça-cliques com títulos como "A pior vulnerabilidade já descoberta na história dos computadores"...
Como há muitos produtos afetados que são reconhecíveis só pelo nome, parece que o alcance do impacto também não é nada pequeno.
Sobre como reproduzir a vulnerabilidade, isso está descrito na matéria abaixo.
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
No caso do SpringBoot, é recomendável seguir o link abaixo.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'