es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

¿Estás a salvo del log4j CVE-2021-44228 si no tienes instalado Java?

21 Jul, 2023 Programación

He leído mucho sobre lo grave que es este problema y entiendo las opciones disponibles para localizarlo dentro del código que nuestra empresa está produciendo y actualizar los servidores que están utilizando versiones vulnerables.

Lo que no puedo encontrar es si un servidor en particular no tiene Java instalado, es decir, si inicio sesión como root y ejecuto java -version y obtengo java: command not found, ¿este servidor está completamente seguro contra este problema y puedo seguir adelante?

Mi instinto inicial fue: sin Java, sin problema. Sin embargo, GitHub lanzó una actualización para sus servidores Enterprise que dice lo siguiente:

CRÍTICO: Una vulnerabilidad de ejecución remota de código en la biblioteca Log4j, identificada como CVE-2021-44228, afectó a todas las versiones de GitHub Enterprise Server anteriores a 3.3.1. La biblioteca Log4j se utiliza en un servicio de código abierto que se ejecuta en la instancia de GitHub Enterprise Server. Esta vulnerabilidad se solucionó en las versiones 3.0.22, 3.1.14, 3.2.6 y 3.3.1 de GitHub Enterprise Server. Para obtener más información, consulte esta publicación en el Blog de GitHub.

Y sin embargo, Java no está instalado en su servidor empresarial.

Supongo que el servicio culpable debe estar relacionado con Java que se ejecuta en un contenedor de Docker. Así que creo que debo considerar Java en la máquina o Java en un contenedor.

¿Existen otras formas ocultas que no he considerado en las que este proceso de log4j puede estar en ejecución?

Tags:  ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Basado en la información proporcionada, parece que un servidor sin Java instalado debería estar a salvo de la vulnerabilidad CVE-2021-44228. Sin embargo, el caso de GitHub Enterprise Server indica que la vulnerabilidad aún puede estar presente en los servicios que se ejecutan en el servidor y que dependen de Log4j, incluso si Java no está instalado directamente en la máquina. Es posible que dichos servicios se estén ejecutando dentro de un contenedor Docker u otro entorno que incluya componentes de tiempo de ejecución de Java. Como tal, puede ser necesario investigar todos los servicios y dependencias de un servidor para determinar si alguno es vulnerable a la explotación de Log4j, incluso si Java en sí no está presente.

Comments are closed.