Vulnerabilidad en Apache Log4j (CVE-2021-45046)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/12/2021
Última modificación:
31/10/2024
Descripción
Se descubrió que la corrección para abordar CVE-2021-44228 en Apache Log4j versiones 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas. Esto podría permitir a los atacantes con control sobre los datos de entrada de Thread Context Map (MDC) cuando la configuración de registro utiliza un Pattern Layout no predeterminado con un Context Lookup (por ejemplo, $${ctx:loginId}) o un Thread Context Map pattern (%X, %mdc, o %MDC) para elaborar datos de entrada maliciosos utilizando un patrón JNDI Lookup que resulta en una fuga de información y ejecución de código remoto en algunos entornos y ejecución de código local en todos los entornos. Log4j versiones 2.16.0 (Java 8) y 2.12.2 (Java 7) solucionan este problema eliminando el soporte para los patrones de búsqueda de mensajes y deshabilitando la funcionalidad JNDI por defecto
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* | 2.0.1 (incluyendo) | 2.12.2 (excluyendo) |
| cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* | 2.13.0 (incluyendo) | 2.16.0 (excluyendo) |
| cpe:2.3:a:apache:log4j:2.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:log4j:2.0:beta9:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:log4j:2.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:log4j:2.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:cvat:computer_vision_annotation_tool:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:intel:audio_development_kit:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:intel:datacenter_manager:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:intel:genomics_kernel_library:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:intel:oneapi:-:*:*:*:*:eclipse:*:* | ||
| cpe:2.3:a:intel:secure_device_onboard:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:intel:sensor_solution_firmware_development_kit:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:intel:system_debugger:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:intel:system_studio:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2021/12/14/4
- http://www.openwall.com/lists/oss-security/2021/12/15/3
- http://www.openwall.com/lists/oss-security/2021/12/18/1
- https://cert-portal.siemens.com/productcert/pdf/ssa-397453.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-479842.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-661247.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-714170.pdf
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EOKPQGV24RRBBI4TBZUDQMM4MEH7MXCY/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SIG7FZULMNK2XF6FZRU4VWYDQXNMUGAJ/
- https://logging.apache.org/log4j/2.x/security.html
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0032
- https://security.gentoo.org/glsa/202310-16
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
- https://www.cve.org/CVERecord?id=CVE-2021-44228
- https://www.debian.org/security/2021/dsa-5022
- https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00646.html
- https://www.kb.cert.org/vuls/id/930724
- https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://www.oracle.com/security-alerts/cpujan2022.html
- https://www.oracle.com/security-alerts/cpujul2022.html