Tecnología

Cómo detectar la vulnerabilidad de Log4j en aplicaciones

Crédito: Dreamstime

La Fundación Apache lanzó recientemente una emergencia actualizar para una vulnerabilidad crítica de día cero en Log4j, una herramienta de registro ubicua incluida en casi todas las aplicaciones Java. El problema se llamó Log4Shell y recibió el identificador CVE-2021-44228.

El problema gira en torno a un error en la biblioteca Log4j que podría permitir a un atacante ejecutar código arbitrario en un sistema que usa Log4j para escribir mensajes de registro. Esta vulnerabilidad de seguridad tiene un gran impacto y es algo a lo que cualquier persona con una aplicación que contenga Log4j debe prestar atención de inmediato.

Por qué abordar Log4Shell es un gran desafío

Log4j es una biblioteca utilizada por muchas aplicaciones Java. Es una de las bibliotecas de Java más extendidas hasta la fecha. La mayoría de las aplicaciones de Java registran datos y no hay nada que lo haga más fácil que Log4j.

El desafío aquí es encontrar Log4j debido a la forma en que funciona el empaquetado de Java. Es posible que los usuarios tengan Log4j oculto en algún lugar de su aplicación y ni siquiera lo sepan.

En el ecosistema de Java, las dependencias se distribuyen como archivos de archivo Java (JAR), que son paquetes que se pueden usar como una biblioteca de Java. Las herramientas de uso común, como Maven y Gradle, pueden agregar automáticamente archivos JAR a medida que los usuarios crean aplicaciones Java.

También es posible que un JAR contenga otro JAR para satisfacer una dependencia, lo que significa que una vulnerabilidad se puede ocultar varios niveles hacia abajo en una aplicación. En algunas situaciones, una dependencia atrae a cientos de otras dependencias, lo que hace que sea aún más difícil de encontrar.

Esencialmente, en el mundo de Java, los usuarios pueden tener un JAR anidado dentro de un JAR anidado dentro de un JAR. Esto crea muchas capas que deben investigarse. Es posible que solo mirar los archivos JAR que un proyecto extrae directamente no sea suficiente, ya que Log4j podría estar oculto dentro de otro archivo JAR.

Busque Log4j con herramientas de código abierto

Federico Pareja

"Escritora típica. Practicante de comida malvada. Genio zombi. Introvertido. Lector. Erudito de Internet. Entusiasta del café incondicional".

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba