Vulnerabilidad en el archivo de configuración de registro en Apache Log4j2 (CVE-2021-44832)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
28/12/2021
Última modificación:
07/11/2023
Descripción
Las versiones de Apache Log4j2 de la 2.0-beta7 a la 2.17.0 (excluyendo las versiones de corrección de seguridad 2.3.2 y 2.12.4) son vulnerables a un ataque de ejecución remota de código (RCE) cuando una configuración utiliza un JDBC Appender con un URI de origen de datos JNDI LDAP cuando un atacante tiene el control del servidor LDAP de destino. Este problema se soluciona limitando los nombres de fuentes de datos JNDI al protocolo java en las versiones 2.17.1, 2.12.4 y 2.3.2 de Log4j2
Impacto
Puntuación base 3.x
6.60
Gravedad 3.x
MEDIA
Puntuación base 2.0
8.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* | 2.0.1 (incluyendo) | 2.3.2 (excluyendo) |
| cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* | 2.4 (incluyendo) | 2.12.4 (excluyendo) |
| cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:* | 2.13.0 (incluyendo) | 2.17.1 (excluyendo) |
| cpe:2.3:a:apache:log4j:2.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:log4j:2.0:beta7:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:log4j:2.0:beta8:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:log4j:2.0:beta9:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:log4j:2.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:log4j:2.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_diameter_signaling_router:*:*:*:*:*:*:*:* | 8.0.0.0 (incluyendo) | 8.5.1.0 (incluyendo) |
| cpe:2.3:a:oracle:communications_interactive_session_recorder:6.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_interactive_session_recorder:6.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:primavera_gateway:*:*:*:*:*:*:*:* | 17.12.0 (incluyendo) | 17.12.11 (incluyendo) |
| cpe:2.3:a:oracle:primavera_gateway:*:*:*:*:*:*:*:* | 18.8.0 (incluyendo) | 18.8.13 (incluyendo) |
| cpe:2.3:a:oracle:primavera_gateway:*:*:*:*:*:*:*:* | 19.12.0 (incluyendo) | 19.12.12 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2021/12/28/1
- https://cert-portal.siemens.com/productcert/pdf/ssa-784507.pdf
- https://issues.apache.org/jira/browse/LOG4J2-3293
- https://lists.apache.org/thread/s1o5vlo78ypqxnzn6p8zf6t9shtq5143
- https://lists.debian.org/debian-lts-announce/2021/12/msg00036.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EVV25FXL4FU5X6X5BSL7RLQ7T6F65MRA/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/T57MPJUW3MA6QGWZRTMCHHMMPQNVKGFC/
- https://security.netapp.com/advisory/ntap-20220104-0001/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://www.oracle.com/security-alerts/cpujan2022.html
- https://www.oracle.com/security-alerts/cpujul2022.html