CVE-2021-44228 – log4j - Relato de vulnerabilidade

(unit42.paloaltonetworks.com)

12 pontos por tkwlsrl 2021-12-11 | 7 comentários | Compartilhar no WhatsApp

Foi relatada uma vulnerabilidade no log4j, um framework de logging para Java. - Versões afetadas: 2.0 ~ 2.14.1 - Versão corrigida >= 2.15.0-rc1 - Recomenda-se aplicar patches em todos os sistemas que utilizam a biblioteca Apache log4j - Principais afetados * Apache Struts * Apache Solr * Apache Druid * Apache Flink * ElasticSearch * Flume * Apache Dubbo * Logstash * Kafka * Spring-Boot-starter-log4j2

7 comentários

v08zbv8fvlkjasdflkj 2021-12-13

Ah, então o log4j é uma função de logging? Só pelo nome, achei que fosse math log4

xguru 2021-12-11

É um bug que permite Remote Code Execution (RCE) quando um conteúdo contendo determinada string é registrado em log.

kunggom 2021-12-13

Enquanto isso, parece que já tem gente usando essa vulnerabilidade de segurança para transformar servidores de Minecraft em servidores de Doom. Rip and Tear! https://twitter.com/gegy1000/status/1469714451716882434;

budlebee 2021-12-13

kkkkkk até portar Doom para servidor de Minecraft...

xguru 2021-12-11

Como o alcance afetado é enorme, a imprensa nacional está até fazendo caça-cliques com títulos como "A pior vulnerabilidade já descoberta na história dos computadores"...

kunggom 2021-12-11

Como há muitos produtos afetados que são reconhecíveis só pelo nome, parece que o alcance do impacto também não é nada pequeno. Sobre como reproduzir a vulnerabilidade, isso está descrito na matéria abaixo. [PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit https://pcmag.com/news/…;

tkwlsrl 2021-12-11

No caso do SpringBoot, é recomendável seguir o link abaixo. https://spring.io/blog/2021/… /> maven <properties> <log4j2.version>2.15.0</log4j2.version> </properties> gradle ext['log4j2.version'] = '2.15.0'

CVE-2021-44228 – log4j - Relato de vulnerabilidade

Leituras relacionadas

7 comentários