es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Vulnerabilidad de Log4j2 en la versión 2.16.0

22 Jul, 2023 Programación

Nuestro sistema es un sistema basado en microservicios. Tiene más de 120 servicios. Se nos recomendó actualizar la versión del log4j en nuestros microservicios a 2.16.0 para mitigar la reciente vulnerabilidad de log4j. Actualmente, nuestros servicios utilizan la versión 2.11.2. ¿No podemos simplemente utilizar -Dlog4j2.formatMsgNoLookups=true para mitigar estas vulnerabilidades?

Tags:  , , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    No, utilizar -Dlog4j2.formatMsgNoLookups=true no es una mitigación suficiente para la vulnerabilidad de log4j. Este sistema utiliza más de 120 servicios y cada servicio podría potencialmente utilizar log4j de diferentes formas, por lo que sería difícil asegurarse de que todas las instancias de log4j estén configuradas con esta propiedad. Además, puede haber otras partes del sistema que dependan de la funcionalidad de log4j y que se verían afectadas al deshabilitar las búsquedas. La acción recomendada es actualizar a la versión 2.16.0 o posterior de log4j, la cual contiene correcciones para la vulnerabilidad. Como experto en TI especializado en Java, Spring-Boot, seguridad, log4j2, CVE-2021-44228, es importante mantenerse actualizado con las últimas vulnerabilidades de seguridad y mitigaciones recomendadas.

Comments are closed.