Están afectados todos los productos que utilizan la librería Log4j2 mantenida por Apache Software Foundation, desde la versión 2.0-beta9 hasta la versión 2.14.1. Esta librería es utilizada en muchos productos, tanto comerciales como en desarrollos propios basados en Java.
Entre los fabricantes que integran esta librería en sus productos, o lo están evaluando, destacan:
- Apache Solr, puede consultar la lista de productos afectados en su página web;
- Apache Struts, puede consultar la lista de productos afectados en su página web;
- Atlassian, puede consultar la lista de productos afectados en su página web;
- BMC, puede consultar la lista de productos afectados en su página web;
- Cisco, puede consultar la lista de productos afectados en su página web;
- Citrix, puede consultar la lista de productos afectados en su página web;
- Debian, puede consultar la lista de productos afectados en su página web;
- Docker, puede consultar la lista de productos afectados en su página web;
- F-Secure, puede consultar la lista de productos afectados en su página web;
- Fortinet, puede consultar la lista de productos afectados en su página web;
- RedHat, puede consultar la lista de productos afectados en su página web;
- Solarwinds, puede consultar la lista de productos afectados en su página web;
- VMware, puede consultar la lista de productos afectados en su página web.
El investigador SwitHak mantiene una lista con otros productos afectados.
Desde el National Cyber Security Centrum (NCSC-NL) neerlandés también han publicado un listado de software afectado, incluyendo información de proveedores, productos, versiones y enlaces.
[Actualización 15/12/2021] Además de los productos comerciales afectados, es muy importante detectar y solucionar esta vulnerabilidad en productos no comerciales o desarrollos ad-hoc que utilizan e integran esta librería, y por lo tanto están afectados por esta vulnerabilidad.
Para esto el National Cyber Security Centrum (NCSC-NL) mantiene una lista de aplicaciones basadas en software libre para escaneo y detección.
Así mismo otros investigadores han publicado listados con herramientas tanto de software libre como comerciales para la detección de aplicaciones potencialmente vulnerables. Los principales fabricantes de herramientas de detección y gestión de vulnerabilidades incorporan ya en sus productos capacidades para localizar productos afectados.
Es importante configurar correctamente estos análisis para evitar fugas de información a través de recursos externos (LDAP, DNS, etc.) y realizar los análisis de manera autenticada, ya que no todas las aplicaciones responden igual y pueden darse falsos negativos.
Este tipo de análisis debe efectuarse no solo sobre el inventario de activos expuestos a Internet de la organización, sino sobre toda la organización al completo, ya que los activos no expuestos pueden utilizarse en ataques como movientes laterales o pueden existir productos no inventariados o shadow IT que también se utilicen en ataques que aprovechen esta vulnerabilidad.
[Actualización 16/12/2021] Se ha detectado que la vulnerabilidad también afecta a la versión 1.x de Log4j, con severidad media, y que lleva asociada el identificador CVE-2021-4104, en configuraciones que no son por defecto, concretamente JMSAppender es vulnerable a una ejecución remota de código en el servidor.
[Actualización 20/12/2021] Se ha detectado una vulnerabilidad de denegación de servicio (DoS), de severidad alta, que afecta a las versiones 2.0-alpha1 hasta 2.16, concretamente al archivo log4j-core JAR, y que lleva asociada el identificador CVE-2021-45105.
[Actualización 23/12/2021] La vulnerabilidad CVE-2021-45105 afecta a las versiones 2.0-beta9 hasta 2.16.0 excluyendo 2.12.3. La vulnerabilidad CVE-2021-45046 afecta a las versiones 2.0-beta9 hasta 2.15.0 excluyendo 2.12.2.