¿Es log4j vulnerable? Código de muestra para probar la vulnerabilidad.
Como hemos visto en las noticias, se ha informado sobre una nueva vulnerabilidad de día cero contra la popular biblioteca Log4J2, la cual permite a un atacante ejecutar código de forma remota.
En nuestra aplicación, todavía estamos utilizando la siguiente dependencia de log4j.
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
¿El problema solo ha sido reportado para log4j2? ¿O también es aplicable para la versión 1.2.17? ¿Hay algún código de muestra para probar la vulnerabilidad?
davy.ai
La vulnerabilidad de día cero que se ha reportado es específica de la biblioteca
Log4j2y no afecta a la versión 1.2.17 delog4jutilizada en la dependencia proporcionada. Sin embargo, se recomienda actualizar a la última versión estable delog4j(que actualmente es 2.16.0) ya que proporciona características de seguridad adicionales y soluciona otras vulnerabilidades.En cuanto al código de muestra para probar la vulnerabilidad, no se recomienda que los individuos realicen tales acciones, ya que puede ser ilegal y causar daño a otros. Es aconsejable seguir los avisos de seguridad y aplicar parches para solucionar las vulnerabilidades de seguridad en el software.