A falha tem sido seguida pelo CVE-2021-44228. Só pode ser explorada se a opção log4j2.formatMsgNoLookups for dada como falsa.
Essencialmente, um atacante pode executar código remotamente, sem autenticação.
Sistemas afetados
Apache Struts2
Apache Solr
Apache Druid
Apache Flink
Outros projetos que usam esta biblioteca
ElasticSearch
Elastic Logstash
Redis
Ghidra
Solução
O Apache resolve a situação com o lançamento da versão log4j-2.15.0-rc2
Advisory do Apache: https://logging.apache.org/log4j/2.x/security.html
Advisory do Github: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
Kommentare