{"id":623,"date":"2021-12-17T08:45:11","date_gmt":"2021-12-17T07:45:11","guid":{"rendered":"https:\/\/setblau.com\/blog\/?p=623"},"modified":"2025-01-17T18:04:57","modified_gmt":"2025-01-17T17:04:57","slug":"log4shell","status":"publish","type":"post","link":"https:\/\/setblau.com\/blog\/log4shell\/","title":{"rendered":"Log4Shell"},"content":{"rendered":"\n

La vulnerabilidad cr\u00edtica m\u00e1s extendida<\/h2>\n\n\n\n

Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0 day cr\u00edtica, denominada Log4Shell, que podr\u00eda ser explotada por un atacante remoto para ejecutar c\u00f3digo malicioso.<\/p>\n\n\n\n

La vulnerabilidad afecta a Apache Log4j, una biblioteca desarrollada por Apache Software Foundation para el desarrollo de aplicaciones en Java. Java es un lenguaje de programaci\u00f3n con el que est\u00e1n creados muchos de los programas y aplicaciones usados en los ordenadores, p\u00e1ginas web, etc. por lo que millones de usuarios de cientos de servicios online podr\u00edan verse potencialmente afectados.<\/p>\n\n\n\n

Recursos afectados<\/h2>\n\n\n\n

Est\u00e1n afectados todos los productos que utilizan la librer\u00eda Log4j2<\/a> mantenida por Apache Fundation, desde la versi\u00f3n 2.0-beta9 hasta la versi\u00f3n 2.14.1 Esta librer\u00eda es utilizada en muchos productos, tanto comerciales como en desarrollos propios basados en Java.<\/p>\n\n\n\n

Para saber qu\u00e9 fabricantes y productos est\u00e1n afectados, se puede consultar el aviso de seguridad publicado en INCIBE-CERT sobre Log4Shell<\/a>.<\/p>\n\n\n\n

Soluci\u00f3n<\/h2>\n\n\n\n

Revisa qu\u00e9 sistemas, programas, aplicaciones, juegos, etc. utilizas de los que est\u00e1n afectados por este fallo de seguridad -ver apartado \u201cRecursos afectados\u201d- y comprueba en su p\u00e1gina web si recientemente se ha publicado una nueva versi\u00f3n, es decir, hay una actualizaci\u00f3n del mismo, que resuelva el problema detectado.<\/p>\n\n\n\n

Es muy importante realizar esta actualizaci\u00f3n en cuanto est\u00e9 disponible para poder corregir la vulnerabilidad provocada por Log4Shell y as\u00ed tener as\u00ed nuestros programas y aplicaciones protegidos.<\/p>\n\n\n\n

En muchos programas, si tienes el sistema de actualizaciones autom\u00e1ticas activas, te avisar\u00e1 de que existe una nueva actualizaci\u00f3n cuando est\u00e9 disponible. En cualquier caso, permanece atento ya que pueden aparecer nuevos programas o servicios afectados por Log4Shell o cualquier otra vulnerabilidad que se detecte y, por tanto, deber\u00e1s actualizar el software, hardware y firmware de tus dispositivos siempre que haya disponible una actualizaci\u00f3n.<\/p>\n\n\n\n

Para ayudarte en este proceso, te facilitamos el siguiente contenido: Aprende a mantener actualizados tus dispositivos, programas y aplicaciones<\/a><\/p>\n\n\n\n

Detalles<\/h2>\n\n\n\n

Como su propio nombre indica, una vulnerabilidad de d\u00eda cero o Zero Day es un tipo de vulnerabilidad que acaba de ser descubierta y que a\u00fan no tiene un parche que la solucione. La principal amenaza reside en que, hasta que se lanza dicho parche correctivo y los usuarios lo instalan en sus equipos, los atacantes tienen v\u00eda libre para explotar la vulnerabilidad y sacar provecho del fallo de seguridad. A este tipo de ataques se les denomina ataques de d\u00eda cero o Zero day attack.<\/p>\n\n\n\n

La forma de protegerse de estas vulnerabilidades es la siguiente:<\/p>\n\n\n\n