top of page

Falha zero-day em biblioteca de java Log4j causa grande impacto






A falha tem sido seguida pelo CVE-2021-44228. Só pode ser explorada se a opção log4j2.formatMsgNoLookups for dada como falsa.


Essencialmente, um atacante pode executar código remotamente, sem autenticação.







Sistemas afetados

Apache Struts2

Apache Solr

Apache Druid

Apache Flink


Outros projetos que usam esta biblioteca

ElasticSearch

Elastic Logstash

Redis

Ghidra



Solução

O Apache resolve a situação com o lançamento da versão log4j-2.15.0-rc2


Advisory do Apache: https://logging.apache.org/log4j/2.x/security.html

Advisory do Github: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2



Kommentare


POSTS RECENTES:
PROCURE POR TAGS:
bottom of page