Noticias

Log4Shell: vulnerabilidad de ejecución remota de código Log4j

Se descubrió una vulnerabilidad de alto impacto en Apache Log4j 2, un componente de software ampliamente implementado que muchas aplicaciones Java utilizan para facilitar el registro. Un atacante que pueda controlar el mensaje de registro o sus parámetros puede hacer que la aplicación ejecute código arbitrario. En Ubuntu, Apache Log4j2 está empaquetado en el paquete fuente apache-log4j2, que se ha parcheado para resolver esta vulnerabilidad. Para obtener más información, consulte USN-5192-1 (14 de diciembre) y USN-5197-1 (diciembre) 15. ). Esta vulnerabilidad se ha asignado como CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105.

Para aplicar todas las correcciones disponibles a su sistema Ubuntu, escriba el siguiente comando en la terminal:

$ sudo ua fix CVE-2021-44228
$ sudo ua fix CVE-2021-45046
$ sudo ua fix CVE-2021-45105

Preste atención al uso del paquete Apache Log4j 2

El uso generalizado del paquete Apache Log4j 2 y las convenciones de empaquetado de la plataforma Java hacen que sea muy importante abordar esta vulnerabilidad (toda la industria de la seguridad). La razón es que el software no solo aparece en Ubuntu como un componente empaquetado, sino que a menudo se incluyen copias separadas del software directamente en aplicaciones populares. En particular, esto último hace que sea muy difícil determinar si una aplicación o sistema en particular es vulnerable. El equipo debe examinar cada aplicación individualmente para determinar si la aplicación tiene vulnerabilidades «dividiendo» la aplicación o utilizando listas de materiales y listas de verificación del software. Es posible que solo actualizar la versión empaquetada de Ubuntu de este componente de software no sea suficiente para garantizar que todas las aplicaciones que usan Apache Log4j 2 estén reparadas.

LEER  #149 Hardware Slimbook Ejecutivo - Podcast Linux

recomendar

Recomendamos que nuestros usuarios y clientes obtengan las últimas actualizaciones de seguridad de software de Canonical y verifiquen que cualquier software Java de terceros que utilicen no esté incluido en el paquete log4j. Para obtener más información sobre los productos Canonical afectados, visite esta página que se actualiza constantemente.

Más información sobre la vulnerabilidad

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba