Primero lanzaron la versión 2.15.0 para corregir las importantes vulnerabilidades que afectaban a esta librería. Posteriormente lanzaron 2.16.0 y, en este caso, la versión 2.17.0. Se trata de una vulnerabilidad de denegación de servicios (DoS) que debe ser corregida. Ha sido registrada como CVE-2021-45105. No obstante, hay que mencionar que ha sido calificada como de menor gravedad, aunque sigue siendo alta. Eso sí, igualmente es fundamental que los usuarios actualicen lo antes posible y eviten así problemas que pongan en riesgo sus dispositivo

La brecha ha provocado una alerta mundial debido a que se encuentra en una herramienta usada de forma masiva en servicios digitales de todo el mundo. Instalar el parche corresponde a los desarrolladores de esos servicios; la recomendación a los usuarios es mantener actualizados todos sus programas

Después de que los mantenedores de log4j lanzaran la versión 2.15.0 para abordar la vulnerabilidad de Log4Shell, se identificó un vector de ataque adicional y se informó en CVE-2021-45046. [..]Es posible que siga siendo vulnerable a Log4Shell (RCE) si solo habilitó el indicador noMsgFormatLookups o estableció %m{nolookups} cuando también estableció datos en ThreadContext con datos controlados por el atacante. En este caso, debe actualizar a 2.16.0 o de lo contrario seguirá siendo vulnerable a RCE.