9VSA21-00539-01 CSIRT alerta de una nueva vulnerabilidad de Apache LogJ4

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre una nueva vulnerabilidad dada a conocer para Apache LogJ4.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidad

CVE-2021-44832

Impactos

CVE-2021-44832: Esta vulnerabilidad puede permitir la ejecución arbitraria de código y es considerada de riesgo medio, por ser más compleja de explotar que en el caso de la CVE-2021-44228 original (Véase: csirt.gob.cl/vulnerabilidades/9vsa21-00531-01/). Es parchada con la versión 2.17.1.

Productos afectados

Apache Log4j2 2.0-beta7 a 2.17.0, exceptuando 2.3.2 y 2.12.4.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/

https://logging.apache.org/log4j/2.x/security.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00539-01