W zeszły piątek wybuchła sprawa z Log4J2 i podatnością w nim*.
Chwilę po tym jak się pojawiły informacje, ktoś już wrzucił u nas na Slacka.
Zacząłem sprawdzać czy mamy podatność i okazało się, że tak, mamy.
Ale moje sprawdzanie nie polegało na sprawdzeniu tylko wersji biblioteki (wtedy 2.14, czyli najnowszej do "przed chwilą"), ale na wywołaniu podatności.
No to trzeba mitygować. Pierwsza nadzieja, tylko na pewnych JVMkach to się zdarza... ale kontrola i sorry, Corretto w tej wersji która niby ma być bezpieczna ma problem.
No to updatowanie biblioteki do 2.15.... i też nie pomaga.
Kolega wtedy wrzucił, że gdzieś podają jeszcze dodanie do parametrów JVM:
* - ktoś uznał, że fajnie by było jakby Log4J2 w razie potrzeby używał JNDI bo to by się mogło przydać, dostarczył kod i to zmergowano i nikt nigdy nie pomyślał, że może biblioteka do logowania nie powinna pewnych rzeczy robić ;-)
Podobne postybeta
Język ma znaczenie w kontaktach z ChatGPT
Surowe dane genetyczne i niebezpieczeństwa ich udostępniania
Szukanie czemu mi nie działa program na Java 17, a czemu działa na Java 8 ;-)
W końcu dane z M1, które w Java'ie mówią, że to jest ARM :-)
Czas = uwaga = zainteresowanie ;-)