Log4Shell: Vulnerabilidade crítica log4j

CVE-2021-44228

No dia 9 de dezembro, a Fundação Apache lançou a versão 2.15.0 como uma atualização de emergência para uma vulnerabilidade crítica na biblioteca log4j2. A vulnerabilidade poderia permitir que um intruso remoto executasse código arbitrário num sistema com software utilizando a biblioteca log4j2 Java para registar informações e mensagens.

Muitos softwares e serviços online baseados em Java aproveitam o utilitário de registo de código aberto log4j, os especialistas estimam que a vulnerabilidade possa afetar milhões de aplicações. É importante notar que nem todo o software que usa Java é vulnerável. Além disso, nem todo o software que usa log4j é vulnerável, apenas o software que permite e aproveita a substituição de mensagens log4j. A partir do log4j 2.15.0, a substituição de procura de mensagens é desativada por predefinição.

A vulnerabilidade foi inicialmente reportada através de sites de jogos Minecraft. Os sites alertavam que os autores de ameaças poderiam executar código malicioso em servidores, e clientes que executam a versão Java de Minecraft manipulando mensagens de registo através de mensagens de chat bem trabalhadas. A comunidade de segurança rapidamente percebeu que a causa principal era mais profunda e tinha um impacto muito maior do que apenas no jogo Minecraft. Em 9 de dezembro, a vulnerabilidade começou a ser abordada como CVE-2021-44228 e apelidada como Log4Shell.