A recente vulnerabilidade encontrada no Apache Log4j2 (CVE-2021-45046) é considerada de nível crítico com pontuação oficial do CVSS de 9,0 e pode afetar milhares de aplicações WEB ao redor do mundo.
O Log4j2 é uma ferramenta open-source baseada em Java para auxiliar no registro de logs com apache.
Para vocês terem uma ideia da gravidade dessa vulnerabilidade ela pode ser tão famosa quanto a Eternal Blue, dado a quantidade de aplicações que usam Log4j2.
Mas existe algumas formas de mitigar essa falha, segue:
- Usuários do Java 8 atualizem para versão 2.17.0.
- Usuários do Java 7 atualizem para versão 2.12.3.
- O maior segredo é manter sempre atualizado e ter um bom firewall.
- E o mais importante, não parem de acompanhar mais notícias sobre essa falha.
Mais notícias sobre a falha, acompanhe o BoletimSec: https://boletimsec.com.br/?s=Log4j&post_type=post
Veja também a notificação oficial: https://logging.apache.org/log4j/2.x/security.html