https://mcdg-blog.pages.dev/topicos/depend%C3%AAncias/ Recent content in Dependências on Defesa em profundidade Hugo pt-pt CC BY-NC 4.0 Mon, 03 Jan 2022 00:00:00 +0000 https://mcdg-blog.pages.dev/pubs/2022/01/incidente-log4shell/ Mon, 03 Jan 2022 00:00:00 +0000 https://mcdg-blog.pages.dev/pubs/2022/01/incidente-log4shell/ <p><strong><code>#!/intro</code></strong></p> <p>O Log4Shell demonstrou, de forma particularmente clara, que uma vulnerabilidade crítica nem sempre está no sistema mais visível, no serviço mais exposto ou no componente diretamente administrado pelas equipas de segurança.</p> <p>Neste caso, a falha estava numa biblioteca.</p> <p>O CVE-2021-44228, associado ao Apache Log4j, afetou o componente <code>log4j-core</code> em versões vulneráveis do Log4j 2 e permitiu, em determinadas condições, execução remota de código através do abuso de lookups JNDI processados a partir de dados registados pela aplicação.</p>