es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

¿Cómo puedo comprobar si mi proyecto de Java utiliza Log4j y qué versión?

19 Jul, 2023 Programación

Debido a la vulnerabilidad de Log4Shell, me gustaría buscar y averiguar si mi proyecto de Java está implementando Log4j directamente o a través de dependencias, y qué versión.

Tengo, por ejemplo, proyectos con estas herramientas de gestión de dependencias:

  1. Proyecto Maven
  2. Proyecto Apache Ivy
  3. Proyecto antiguo sin ningún tipo de gestión de dependencias

¿Cómo puedo hacer esto en estos tipos de herramientas de gestión de dependencias?

Detalles sobre la vulnerabilidad (incluyendo pasos de mitigación):

CVE-2021-44228

Vulnerabilidades de seguridad de Apache Log4j

Tags:  , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Para verificar si su proyecto de Java está implementando Log4j directamente o a través de dependencias, y qué versión, puede seguir estos pasos basados en sus herramientas de administración de dependencias:

    Para proyectos de Maven:

    1. Abra su proyecto en su IDE preferido.
    2. Navegue hasta el archivo pom.xml del proyecto.
    3. Busque las dependencias de Log4j declaradas en la etiqueta dependencies.
    4. Verifique la versión de Log4j utilizada en el proyecto, que debería estar declarada en la etiqueta dependency como log4j-core o log4j-api.
    5. Si se utiliza Log4j, verifique el código de su aplicación para ver si está implementado de manera vulnerable.

    Para proyectos de Apache Ivy:

    1. Abra su proyecto en su IDE preferido.
    2. Navegue hasta el archivo ivy.xml del proyecto.
    3. Busque las dependencias de Log4j declaradas en la etiqueta dependencies.
    4. Verifique la versión de Log4j utilizada en el proyecto, que debería estar declarada en la etiqueta dependency como org.apache.logging.log4j#log4j-core o org.apache.logging.log4j#log4j-api.
    5. Si se utiliza Log4j, verifique el código de su aplicación para ver si está implementado de manera vulnerable.

    Para un viejo proyecto heredado sin ninguna gestión de dependencias:

    1. Abra su proyecto en su IDE preferido.
    2. Busque la biblioteca Log4j en el directorio lib o lib/ext de su proyecto.
    3. Abra MANIFEST.MF ubicado dentro del archivo jar, war o ear que incluye Log4j y busque la versión mencionada en el encabezado Implementation-Version.
    4. Si se utiliza Log4j, verifique el código de su aplicación para ver si está implementado de manera vulnerable.

    Para mitigar la vulnerabilidad Log4Shell, el Proyecto Apache Logging recomienda actualizar a Log4j 2.15.0 o una versión superior, o si eso no es posible, aplicar los últimos parches de seguridad a versiones anteriores. Las organizaciones también deben restringir el acceso de red a servidores y servicios de Log4j vulnerables.

Comments are closed.