El viernes 10 de diciembre por la mañana se informó de un nuevo exploit en el marco de registro de Java "log4j", que puede ser explotado trivialmente. Esta vulnerabilidad es causada por una nueva característica introducida en las versiones de log4j 2.x donde una cadena específica incrustada en los mensajes registrados por log4j sería interpretada por log4j para conectarse a sitios remotos e incluso ejecutar código directamente.

La vulnerabilidad, también llamada "log4shell":

• No afecta directamente a los productos SUSE Linux Enterprise, ya que todavía se envían solo una versión anterior de log4j que no se ve afectada por este error.
• No afecta a los productos SUSE Rancher, ya que no incorporan log4j.
• No afecta a SUSE Manager, ya que sigue utilizando como máximo log4j 1.2.x, que no se ve afectado.
• Un componente de SUSE OpenStack Cloud ("tormenta") incorpora log4j 2.x, que recibirá actualizaciones.

El producto NeuVector recientemente adquirido no se ve afectado por esta vulnerabilidad, pero en su funcionalidad de escáner de seguridad ahora ha agregado soporte para escanear sus contenedores, consulte la página NeuVector log4j2 .

Referencias:

• Página SUSE CVE para CVE-2021-44228
• aviso de seguridad log4j
• SUSE TID 000020526
• Página NeuVector en la adición de escaneo log4j2
• Notificación de BSI sobre log4j (PDF)