La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las directrices marcadas por el Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa de nuevos datos respecto a la vulnerabilidad que afecta a la librería Apache Log4j 2.

Asociada a la vulnerabilidad CVE-2021-44228 se ha identificado la vulnerabilidad CVE-2021-45046, además de otra (CVE-2021-4104) sobre Apache Log4j 1.x con ciertos cambios aunque se encuentra relacionada y es explotable.

En Red Hat pueden encontrar más información además de cuáles son las clases utilizadas y vulnerables:

[+] https://access.redhat.com/security/cve/CVE-2021-4104

Principalmente, se indica que se tenga en cuenta que este fallo SÓLO afecta a las aplicaciones que están configuradas específicamente para utilizar JMSAppender, que no lo es por defecto, o cuando el atacante tiene acceso de escritura a la configuración de Log4j para añadir JMSAppender al JMS Broker del atacante.

Cabe destacar que es una vulnerabilidad relacionada con JNDI.

Más información sobre la vulnerabilidad en la versión 1.x:

[+] http://slf4j.org/log4shell.html

Más información sobre la vulnerabilidad en la versión 2.x:

[+] https://ws001.sspa.juntadeandalucia.es/confluence/x/4QayBQ


Gracias por su atención.

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud