El 10 de diciembre de 2021, se hizo público un error en Log4J, un mecanismo de registro ubicuo presente en muchas aplicaciones Java. Puede ubicar información detallada sobre CVE-2021-44228 haciendo clic aquí. Esta es una actualización rápida para informarle cómo abordamos los problemas en nuestras aplicaciones de backend, que están en gran parte construidas con Java Enterprise.
- Hemos actualizado las aplicaciones de Spring Boot para utilizar la última actualización de Log4J: org.apache.logging.log4j:log4j-bom:2.15.0
- Hemos configurado las aplicaciones de Spring Boot para ignorar las solicitudes JNDI: spring: jndi: ignore: true
- Cada VM ahora se está ejecutando con la opción de JVM - Dlog4j2.formatMsgNoLookups=true para mitigar cualquier posible divulgación de información.
- Nuestros servicios backend no están abiertos y operan detrás de una configuración de firewall/load balancer. Hemos investigado nuestros registros y sistemas de seguridad para buscar solicitudes JNDI/LDAP y no pudimos ubicar ninguna, lo que nos lleva a creer que nuestros sistemas no han sido escaneados en busca de estas vulnerabilidades.
Puede ubicar más información sobre la vulnerabilidad de Log4J descrita en CVE-2021-44228 en estos enlaces:
- https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
- https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
- https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
- https://github.com/YfryTchsGD/Log4jAttackSurface
Los primeros 14 días son gratis.
Soporte básico gratuito