Se ha revelado un tercer fallo en la librerÍa de Java Log4j de La Apache Software Foundation (ASF)
CVE-2021-45105 es un error infinitamente recursivo con una puntuación de 7,5 sobre 10. Está presente desde las versiones 2.0-alpha1 hasta la 2.16.0; habiéndose parcheado en la versión 2.17.0.
Esta es la tercera actualización de esta herramienta en los últimos diez días debido a vulnerabilidades de seguridad recientes relacionadas con Log4Shell.
La segunda vulnerabilidad de seguridad que se corregirá es CVE-2021-45046, que permite que un atacante remoto tome el control a través de un mapa de contexto de tema (MDC) para preparar entradas maliciosas mediante búsquedas JNDI. El resultado es la ejecución remota de código, pero no en todos los entornos.
Esta vulnerabilidad se solucionó en la versión 2.16.0, pero esta última vulnerabilidad (CVE-2021-45105) se ha actualizado, lo que permite explotaciones autorrecursivas entre lookups; podría permitir que un atacante cree entradas maliciosas que contengan lookups recursivas.
Esta vulnerabilidad puede ser aprovechada principalmente para provocar una excepción que fuerce la salida del proceso con un código de error, por lo que puede ser aprovechada para realizar un ataque de denegación de servicio.
Como siempre, se destaca la importancia de actualizar a la última versión de Log4j 2.17.0, donde se abordan las vulnerabilidades de seguridad de las que se ha hablado en los últimos días.
¿Desea proteger a su organización? Contáctenos: servicio.cliente@grupobusiness.it
Fuente: https://unaaldia.hispasec.com/