Se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java “Apache Log4j 2”, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

La vulnerabilidad, a la que se le ha asignado el CVE-2021-44228 y denominada Log4Shell o LogJam, fue reportada el pasado 9 de diciembre por el ingeniero de ciberseguridad “p0rz9”, quien publicó un repositorio en GitHub anunciando su descubrimiento, así como una publicación en la red social Twitter en la que dio a conocer de manera pública la vulnerabilidad.

Una explotación exitosa de esta vulnerabilidad, que aprovecha una validación de entrada incorrecta al procesar solicitudes LDAP, permite la ejecución remota de código (RCE), haciéndose cargo del servidor, por lo que se compromete por completo la confidencialidad e integridad de los datos, así como la disponibilidad del sistema.

Recursos afectados

La vulnerabilidad reportada afecta a las siguientes versiones:

  • Apache Log4 desde la versión 2.0 hasta la versión 2.14.1.

Esta vulnerabilidad cobra relativa importancia puesto que “Log4j 2” se usa ampliamente en muchas aplicaciones y está presente, como dependencia, en muchos servicios:

Solución a la vulnerabilidad

Recomendaciones: