« Atrás

Vulnerabilidad 0day de ejecución remota de código en Apache Log4j

comerzzia ha recibido un aviso acerca de esta vulnerabilidad crítica que afecta a nuestro sistema: más información. En este caso, se están viendo afectados todos los productos que usan la librería log4j-2 de Apache, desde la versión 2.0beta9 hasta la versión 2.14.1. 

 

Plan de actuación para evitarla:

En primer lugar, esta vulnerabilidad afecta a las aplicaciones que usan log4j-2, como se ha comentado anteriormente.Comerzzia en este caso utiliza normalmente log4j-1 u otras implementaciones de log.

 

Lo que si usa log4j-2 es Mule (en la versión 2.5).

 

Para evitar esta vulnerabilidad, se ha eliminado de la librería log4j-core-2.5.jar la clase JndiLookup.class. El partner que tenga instalaciones tradicionales, debe sustituir el archivo <base-mule>/lib/boot/log4j-core-2.5.jar por otro. En este caso, por favor, escribe un email a partnersupport@comerzzia.com para poder facilitarte el archivo. El proyecto que esté en contenedores públicos, simplemente es necesario hacer el build and redeploy para que lo tome como base.

 

Igualmente, hemos aprovechado dicha vulnerabilidad para comprobar cómo se ve afectado nuestro entorno y no se ha visto ningún problema.

 

Más información y detalle aquí