En los últimos días, hemos recibido muchas consultas preguntando acerca de la vulnerabilidad de Apache Log4j de la que todos los medios se han hecho eco, es una vulnerabilidad extremadamente crítica a la que se le dio el nombre de Log4Shell.
En nuestros servicios Apache Log4j es únicamente usada en Dovecot Sorl, este sistema se encarga de ofrecer resultados eficientes y rápidos cuando se realice algún tipo de búsqueda masiva en el correo (exclusivo para IMAP), por ejemplo buscando alguna cadena de texto en todos los correos desde la casilla de búsqueda del webmail.
El parche de seguridad se aplicó el mismo día que vio la luz dicha vulnerabilidad, así como sucesivas actualizaciones en días posteriores.
Al no exponer al público el servicio Dovecot Sorl el riesgo es limitado (se han auditado todos los sistemas y no se aprovechó dicha vulnerabilidad en ningún caso), el poder explotar esta vulnerabilidad habría implicado primero que el atacante tuviese unos datos de acceso válidos a una cuenta de correo en nuestra infraestructura, y tras esto tener constancia del uso de esta librería en las búsquedas.
Aún con todos los parches aplicados, y teniendo en cuenta las limitaciones de acceso, hemos decidido desactivar Dovecot Sorl temporalmente para mayor precaución hasta que todos los expertos de seguridad auditen que efectivamente los parches son 100% efectivos, al no ser un servicio crítico el único perjuicio sería que las búsquedas en los correos tendrían un rendimiento inferior durante las próximas semanas, intervalo en el que tendremos la seguridad de poder activar este sistema sin riesgo.