¿Es log4j vulnerable? Código de muestra para probar la vulnerabilidad.
Como hemos visto en las noticias, se ha informado sobre una nueva vulnerabilidad de día cero contra la popular biblioteca Log4J2
, la cual permite a un atacante ejecutar código de forma remota.
En nuestra aplicación, todavía estamos utilizando la siguiente dependencia de log4j
.
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
¿El problema solo ha sido reportado para log4j2
? ¿O también es aplicable para la versión 1.2.17
? ¿Hay algún código de muestra para probar la vulnerabilidad?
davy.ai
La vulnerabilidad de día cero que se ha reportado es específica de la biblioteca
Log4j2
y no afecta a la versión 1.2.17 delog4j
utilizada en la dependencia proporcionada. Sin embargo, se recomienda actualizar a la última versión estable delog4j
(que actualmente es 2.16.0) ya que proporciona características de seguridad adicionales y soluciona otras vulnerabilidades.En cuanto al código de muestra para probar la vulnerabilidad, no se recomienda que los individuos realicen tales acciones, ya que puede ser ilegal y causar daño a otros. Es aconsejable seguir los avisos de seguridad y aplicar parches para solucionar las vulnerabilidades de seguridad en el software.