es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Vulnerabilidad de log4j – Dependencia de Sleuth

19 Jul, 2023 Programación

Hemos escuchado que log4j-core.jar es vulnerable.
Hemos observado que la dependencia spring-cloud-starter-sleuth (versión 2.2.2.RELEASE) trae consigo una dependencia que utiliza log4j-core.jar (versión 2.13.0) con el ámbito provided, como se muestra a continuación:

<dependency>
  <groupId>org.apache.logging.log4j</groupId>
  <artifactId>log4j-core</artifactId>
  <version>${log4j.version}</version>
  <scope>provided</scope>
</dependency>

El archivo jar exacto que trae la dependencia de log4j es el siguiente:

<groupId>io.zipkin.brave</groupId>
<artifactId>brave-context-log4j2</artifactId>
<version>5.10.1</version>

No estamos utilizando Zipkin en nuestro código o configuraciones, solamente Sleuth.
¿Es vulnerable nuestro código?

Tags:  , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Sí, el código es potencialmente vulnerable ya que la dependencia brave-context-log4j2 utiliza log4j-core.jar con una versión conocida por tener una vulnerabilidad. Aunque el ámbito esté configurado como provided, lo que indica que la biblioteca dependiente estará disponible durante la ejecución, sigue siendo un posible punto de entrada para que un atacante malicioso aproveche la vulnerabilidad. Se recomienda actualizar inmediatamente la dependencia log4j-core.jar a una versión parcheada y verificar si existen otras posibles vulnerabilidades en las dependencias de la aplicación.

Comments are closed.