środa, grudnia 15, 2021

Log4J2 i zasada ograniczonego zaufania ;-)

W zeszły piątek wybuchła sprawa z Log4J2 i podatnością w nim*.
Chwilę po tym jak się pojawiły informacje, ktoś już wrzucił u nas na Slacka.
Zacząłem sprawdzać czy mamy podatność i okazało się, że tak, mamy.
Ale moje sprawdzanie nie polegało na sprawdzeniu tylko wersji biblioteki (wtedy 2.14, czyli najnowszej do "przed chwilą"), ale na wywołaniu podatności.
No to trzeba mitygować. Pierwsza nadzieja, tylko na pewnych JVMkach to się zdarza... ale kontrola i sorry, Corretto w tej wersji która niby ma być bezpieczna ma problem.
No to updatowanie biblioteki do 2.15.... i też nie pomaga.
Kolega wtedy wrzucił, że gdzieś podają jeszcze dodanie do parametrów JVM:

-Dlog4j2.formatMsgNoLookups=true

I to pomogło :-)
Więc od razu się podzieliłem z resztą, że sam update do 2.15 nie wystarczy, odpowiednia JVM nie wystarczy, trzeba jeszcze użyć -Dlog4j2.formatMsgNoLookups=true.

No i tak w ciągu 3, może 4h od ogłoszenia problemu już mieliśmy hotfixy :-)

Wniosek z tego taki, że trzeba ufać, ale sprawdzać ;-)

Inna sprawa, że gdyby kilka miesięcy wcześniej nie to, że chciałem mieć contextMap zamiast MDC to bym był nadal na logbacku i nie byłoby wcale problemu :-)


* - ktoś uznał, że fajnie by było jakby Log4J2 w razie potrzeby używał JNDI bo to by się mogło przydać, dostarczył kod i to zmergowano i nikt nigdy nie pomyślał, że może biblioteka do logowania nie powinna pewnych rzeczy robić ;-)




Podobne postybeta
W końcu dane z M1, które w Java'ie mówią, że to jest ARM :-)
Surowe dane genetyczne i niebezpieczeństwa ich udostępniania
Czas = uwaga = zainteresowanie ;-)
Światełko w tunelu :-)
Budżet na spotkania

Brak komentarzy:

Prześlij komentarz