es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Cómo encontrar usos altamente estratificados de Log4j

19 Jul, 2023 Programación

Quiero encontrar todos los usos de log4j antes de la versión actual (2.15.0).

Intenté usando el comando “mvn dependency:tree” de Maven, utilicé varias herramientas (dependency-check, grype (no funcionó para mí), syft (no funcionó para mí), log4j-detector), pero solo listan las clases que se generaron después de especificarlas en el pom.xml.

Sin embargo, y esta es mi preocupación:

Por ejemplo, hay una biblioteca que estoy utilizando llamada hibernate-validator (Hibernate Validator Engine). Estoy seguro de que este motor utiliza Jboss logging, que a su vez utiliza log4j 2.11.2, pero ninguna de mis herramientas anteriores me advirtió de esto. ¿Cómo puedo descubrir qué bibliotecas utilizan log4j?

¿O las bibliotecas externas no representan una amenaza para esta vulnerabilidad?

Por favor, aconseje.

Tags:  , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Como experto en TI especializado en maven, log4j, hibernate-validator, jboss-logging, una forma de encontrar todos los usos de log4j anteriores a la versión 2.15.0 es examinar las dependencias de las bibliotecas y aplicaciones relevantes. Sin embargo, algunas herramientas como mvn dependency:tree, dependency-check, grype, syft y log4j-detector pueden no ser capaces de detectar todas las dependencias que utilizan log4j porque solo listan las clases que se generaron después de especificarlas en el archivo pom.xml.

    Para abordar este problema, es posible que debas inspeccionar manualmente el código fuente de las bibliotecas y aplicaciones que estás utilizando para identificar cualquier llamada o importación de log4j. También es importante tener en cuenta que las bibliotecas externas pueden no representar una amenaza para la vulnerabilidad de log4j, pero aún así es recomendable asegurarse de que todas las dependencias en tu aplicación estén actualizadas y seguras.

    En el caso de la biblioteca hibernate-validator, puedes verificar sus dependencias para ver si utiliza log4j. Puedes hacer esto inspeccionando su archivo pom.xml, que debería listar todas sus dependencias. A partir de ahí, puedes verificar cada dependencia para ver si utiliza log4j y, en caso afirmativo, qué versión. Además, puedes utilizar una herramienta como grep para buscar log4j en el código fuente de las dependencias.

    En general, es importante ejercer la debida diligencia al verificar y abordar las vulnerabilidades de log4j en tus aplicaciones y bibliotecas. Mantener todas las dependencias actualizadas y estar consciente de los posibles riesgos de seguridad es crucial para mantener la integridad y seguridad de tus sistemas.

Comments are closed.