Vulnerabilidad crítica en la biblioteca de registro de Java Log4j

En diciembre de 2021 se hizo pública una vulnerabilidad de seguridad en la biblioteca de registro Java Log4j que afecta a millones de servidores. Esta vulnerabilidad permite que los atacantes ejecuten código malicioso en los sistemas afectados.

Log4j es una biblioteca de registro para aplicaciones Java que se utiliza para registrar los eventos que se producen durante el funcionamiento del servidor.

Las versiones 2.0 a 2.14.1 están afectadas por esta vulnerabilidad de seguridad. Las versiones más antiguas no están afectadas según la información disponible a día de hoy, pero deberían actualizarse a una versión no vulnerable.

Ya hemos tomado medidas de seguridad para evitar la explotación de la brecha de seguridad en nuestra red. Muchos sistemas ya se han revisado y, cuando ha sido necesario, se han aplicado las correspondientes actualizaciones de seguridad.

Atención

Si ha adquirido un servidor con acceso root que utiliza una versión afectada de Log4j, deberá actualizar el software y el sistema operativo afectados usted mismo, ya que IONOS no tiene acceso a estos sistemas. Lo mismo ocurre si ejecuta sus propias instalaciones de Java en otros sistemas. Por favor, asegúrese de que la actualización se lleva a cabo inmediatamente, tan pronto como las actualizaciones de seguridad correspondientes estén disponibles por los fabricantes.

La Apache Software Foundation ya ha publicado la versión 2.16.0 de Log4j y también ha dado pistas sobre cómo proteger temporalmente los sistemas afectados. Sin embargo, tenga en cuenta que tendrá que adaptar todas las aplicaciones que utilicen Log4j.

Por lo tanto, le recomendamos que analice sus servidores con acceso root en busca de instancias vulnerables de la biblioteca Log4J. Para ello, puede utilizar el siguiente software:

https://github.com/mergebase/log4j-detector


Puede encontrar más información aquí:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

https://ubuntu.com/security/CVE-2021-44228

https://security-tracker.debian.org/tracker/CVE-2021-44228

https://www.suse.com/security/cve/CVE-2021-44228.html