log4j vulnerabilidades
Son innumerables las noticias sobre una vulnerabilidad grave en una librería muy, muy utilizada en el ecosistema java
https://www.cyberkendra.com/2021/12/fourth-log4j-rce-vulnerability.html
https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/
Por la cantidad de formas de explotarla y las vulnerabilidades que aperecen tras un parche... parece que hay algo "roto" de base
https://www.cyberkendra.com/2021/12/fourth-log4j-rce-vulnerability.html
Es lógico, por tratarse de una librería muy popular que afecta a muchos sitemas
Pero algunas de las noticias son curiosas
Aquí alguno que ha sufrido las consecuencias y no quiere pagar el rescate
Otra curiosa... china sanciona a Alibasba por no compartir esta vulnerabilidad 0-day con ellos
https://thehackernews.com/2021/12/china-suspends-deal-with-alibaba-for.html
Se trata de una librería enormemente popular, utilizada entre otros por grandes empresas.
Software libre, y estas grandes empresas, "poco" han aportado a esta librería.
Hay muchas quejas, pero se trata de un proyecto en el que trabajan 3 personas en su tiempo libre, y nadie les agradece ni consiguen un café por este proyecto.
Triste y sorprendente
Comentarios