Ya está considerada como la vulnerabilidad más importante de los últimos diez años.
👉¿De que trata esta vulnerabilidad?
Esta vulnerabilidad en Log4j 2, una biblioteca de registro de Java muy común, permite la ejecución remota de código. A menudo, desde un contexto que está fácilmente disponible para un atacante. Por ejemplo, se encontró en los servidores de Minecraft que permitían que los comandos se escribieran en los registros de chat, ya que luego se enviaban al registrador. Esto lo convierte en una vulnerabilidad muy grave, ya que la biblioteca de registro se usa ampliamente y puede ser fácil de explotar.
Desde el día 9 de Diciembre de 2021 y sobretodo este fin de semana se han visto afectados más servidores como los de Apple, Amazon, Aliexpress, Servidores de Minecraft y miles más.
👉 ¿Soy vulnerable?
Las versiones vulnerables de Log4j 2 son las versiones 2.0 a la versión 2.14.1 inclusive. La primera versión fija es la 2.15.0. La corrección en 2.15.0 estaba incompleta y 2.16.0 es ahora la versión recomendada para actualizar. Le recomendamos encarecidamente que actualice a la última versión si puede. Si está utilizando una versión anterior a la 2.0, tampoco es vulnerable.
Mensaje tranquilizador a nuestros clientes:
Siempre cuidamos de vuestra seguridad y lo más importante para nosotros es enviaros un mensaje tranquilizador. Netview no comercializa ningún servicio que pueda ser vulnerable.
Si tienes tu web o aplicación alojada con otro proveedor ,ponte en contacto con él. te dejamos un listado de aplicaciones vulnerables y parcheadas: log4shell/README.md at main · NCSC-NL/log4shell · GitHub
Para más información y actualizacion de libreria LOG4J os dejamos este enlace: Log4j – Download Apache Log4j 2
Enlace de INCIBE [Actualización 16/12/2021] Log4Shell: vulnerabilidad 0day de ejecución remota de código en Apache Log4j | INCIBE-CERT