Durante unos pocos días una vulnerabilidad considerada muy importante negocios de pánico. Hay una razón porque es una falla de seguridad importante y debe tomarse en serio dada la facilidad de uso por parte de una persona malintencionada para ingresar en un sistema.

Logj4: ¿De qué estamos hablando exactamente?

se trata de un vulnerabilidad que fue descubierto en el biblioteca de registro log4j servidores apache. Esta biblioteca es ampliamente utilizada en proyectos de desarrollo de aplicaciones Java, así como en editores de soluciones basadas en Java. Esta vulnerabilidad permite que un atacante provoque una ejecución remota de código arbitrario si tiene la capacidad de enviar datos a una aplicación que utiliza la biblioteca log4j. Por lo tanto, este ataque se clasifica como crítico, ya que puede llevarse a cabo sin autenticarse.

Ya se han publicado pruebas de concepto y esta vulnerabilidad ahora se está explotando activa y masivamente. Actualmente, el mundo de TI está trabajando duro en las empresas para parchear masivamente los servidores y/o aplicar medidas de elusión destinadas a deshabilitar esta biblioteca si es necesario, para evitar la explotación de esta falla.

¿Quién se ve afectado por este defecto?

los CVE-2021-44228 afecta a un gran número de sistemas y servidores. Para ser más completo, son las versiones 2.0 beta9 a 2.14.1 las que se ven afectadas. Siendo Apache el software que permite crear un servidor web de los más utilizados en el mundo. El impacto de este violación de la seguridad toma inmediatamente proporciones significativas. Apple ya ha anunciado que este fallo de seguridad ha afectado iCloud y tenerlo parcheado. camareros Vapor, Minecraft o Gorjeo también forman parte de la larga lista de servidores afectados por esta falla de día cero. Todos están trabajando para hacer que el exploit sea ineficaz, pero ¿qué pasa con el Automatización en todo eso?

¿Cuáles son los riesgos de la domótica?

Varios temores rondan nuestro soluciones domóticas y es legítimo. Sabemos, por ejemplo, que Jeedom se basa en un Servidor web, Home Assistant también. Pero, afortunadamente, esta vulnerabilidad afecta de manera muy específica al código que explota Java y utiliza esta famosa biblioteca, lo que todavía limita un poco el alcance. Jeedom sistemas de automatización del hogar y Asistente de hogar al no estar desarrollado en Java, esta vulnerabilidad no les afecta. El equipo Jeedom lo mencionó en su foro para tranquilizar a su comunidad. Del lado de Asistente de hogar también los mensajes son tranquilizadores. De hecho, Home Assistant se basa en un lenguaje Pitón y por lo tanto no estoy seguro Java. Los usuarios también han escaneado el sistema en busca de la biblioteca. log4j sin éxito.

Sin embargo, tenga cuidado, porque si el núcleo no se ve afectado, los muchos desarrollos e integraciones de terceros podrían contener Java. Sin embargo, hay muy pocas posibilidades. Han surgido algunas alertas en el foro. DECIR AH, pero rápidamente se demostró que estaban equivocados. Un usuario, por ejemplo, mencionó que la integración zwavejs2mqtt usé la biblioteca log4Shell. Esto fue rápidamente negado por los desarrolladores que confirmaron que no estaban usando Java para su integración, pero JavaScript/Mecanografiado. No es lo mismo en absoluto, pero puede volverse confuso rápidamente.

Otros sistemas como fibaro también confirmó que su sistema de domóticatampoco utiliza esta biblioteca log4j.

Poco riesgo para la domótica, ¡pero ojo!

nosotros sistemas de domótica por lo tanto, por el momento están excluidos por esta infracción, pero sigue siendo importante actualizar su sistema y sus complementos a las últimas versiones. Más allá de las nuevas funciones, las actualizaciones también traen varias correcciones relacionadas con la seguridad. Una vez más con este exploit Log4J, vemos que el riesgo cero no existe, por lo que debemos permanecer atentos y asegúrese de actualizar regularmente para limitar los riesgos.

¿Cómo actualizar Jeedom a V4?

¿Cómo actualizar Jeedom a V4?

Jeedom ha estado disponible en su última versión principal V4 desde hace un tiempo, pero todavía está en la versión 3 con su Jeedom instalado en su Raspberry Pi…