https://www.defesa-em-profundidade.net/topicos/log4shell/Recent content in Log4Shell on Defesa em profundidadeHugopt-ptCC BY-NC 4.0Mon, 03 Jan 2022 00:00:00 +0000https://www.defesa-em-profundidade.net/pubs/2022/01/incidente-log4shell/Mon, 03 Jan 2022 00:00:00 +0000https://www.defesa-em-profundidade.net/pubs/2022/01/incidente-log4shell/<p><strong><code>#!/intro</code></strong></p> <p>O Log4Shell demonstrou, de forma particularmente clara, que uma vulnerabilidade crítica nem sempre está no sistema mais visível, no serviço mais exposto ou no componente diretamente administrado pelas equipas de segurança.</p> <p>Neste caso, a falha estava numa biblioteca.</p> <p>O CVE-2021-44228, associado ao Apache Log4j, afetou o componente <code>log4j-core</code> em versões vulneráveis do Log4j 2 e permitiu, em determinadas condições, execução remota de código através do abuso de lookups JNDI processados a partir de dados registados pela aplicação.</p>