NOVO: Várias Vulnerabilidades sérias no Log4J

19/12/2021
Bruno Ferreira

Após uma semana de vulnerabilidades – foram três até ontem – pesquisadores descobrem mais um sério problema no Log4J. Até o momento são contadas quatro vulnerabilidades críticas:


CVE-2021-44228: Execução de código arbitrário remotamente (corrigido na versão 2.15.0);

CVE-2021-45046: Vazamento de dados (corrigido na versão 2.16.0);

CVE-2021-45105: Negação de serviço (corrigido na versão 2.17.0);

CVE-2021-4104: Nova: Falha de desserialização (até o momento da publicação desse texto, sem correção disponível).


Essa falha afeta a versão 1.2. A recomendação de segurança é a atualização para a versão mais recente – 2.17.0. Os administradores de sistemas deverão ficar atentos ao lançamento do próximo patch no site do Log4J – https://logging.apache.org/log4j/2.x/security.html.


Fonte:
https://thehackernews.com/2021/12/new-local-attack-vector-expands-attack.html