Después de que los mantenedores de log4j lanzaran la versión 2.15.0 para abordar la vulnerabilidad de Log4Shell, se identificó un vector de ataque adicional y se informó en CVE-2021-45046. [..]Es posible que siga siendo vulnerable a Log4Shell (RCE) si solo habilitó el indicador noMsgFormatLookups o estableció %m cuando también estableció datos en ThreadContext con datos controlados por el atacante. En este caso, debe actualizar a 2.16.0 o de lo contrario seguirá siendo vulnerable a RCE.
Comentarios
Lol, por si no tuviera bastante con todos corriendo como pollos sin cabeza intentando subir a la 2.15 ahora hay que subir a la 2.16
Hay que volver a actualizar gente
Java y Javascript son las mayores ayudas que las Agencias de Inteligencia de todo el mundo, pueden tener...
Saludos.
Para aquellos que utilizaron el hotpatch de AWS Corretto, confirmamos que el parche evita los problemas de RCE y DOS mencionados en el nuevo CVE.
La utilidad:
https://github.com/corretto/hotpatch-for-apache-log4j2