Samuli Leinonen

**Name of the Vulnerable Software and Affected Versions** Apache Log4j Core versões 2.12.0 até 2.25.3 **Description** Existe uma falha onde a verificação de nome de host é ignorada quando configurada através do atributo `verifyHostName` do elemento '<Ssl>'. Isso ocorre mesmo que o atributo seja explicitamente definido, deixando as conexões TLS suscetíveis a interceptação. Um invasor baseado em rede pode realizar um ataque de man-in-the-middle se um appender SMTP, Socket ou Syslog for utilizado, o TLS estiver configurado via um elemento '<Ssl>' aninhado e o invasor possuir um certificado emitido por uma CA confiável pelo trust store configurado ou pelo trust store padrão do Java. **Recommendations** Atualizar para o Apache Log4j Core 2.25.4.

**Name of the Vulnerable Software and Affected Versions** Apache Log4j Core versões 2.21.0 até 2.25.3 **Description** O componente Rfc5424Layout está suscetível a injeção de log via sequências CRLF (Carriage Return Line Feed). Isso ocorre porque atributos de configuração relevantes para a segurança foram renomeados sem documentação, afetando usuários de serviços syslog baseados em fluxo que configuram o Rfc5424Layout diretamente. Especificamente, a renomeação do atributo `newLineEscape` desativa a escape de nova linha para enquadramento TCP (RFC 6587), e a renomeação do atributo `useTlsMessageFormat` faz com que o enquadramento TLS (RFC 5425) seja rebaixado para TCP não enquadrado (RFC 6587) sem escape de nova linha. Isso pode permitir que um invasor remoto impacte a integridade das informações de log protegidas. **Recommendations** Atualizar para a versão 2.25.4.

**Nome do Software Vulnerável e Versões Afetadas** Apache Log4j Core versões 2.0-beta9 até 2.25.2 **Descrição** O Socket Appender no Apache Log4j Core não verifica o nome do host do certificado da contraparte durante conexões TLS, mesmo quando configurado para tal. Isso poderia permitir que um atacante do tipo man-in-the-middle interceptasse ou redirecionasse o tráfego de logs se pudesse apresentar um certificado válido confiado pelo sistema. O atacante precisa ser capaz de interceptar o tráfego de rede entre o cliente e o receptor de logs e possuir um certificado emitido por uma autoridade de certificação confiável. **Recomendações** Atualize para o Apache Log4j Core versão 2.25.3. Como alternativa, configure o Socket Appender para usar uma raiz de confiança privada ou restrita, a fim de limitar o conjunto de certificados confiáveis.