Tag: CVE-2021-44228
Estoy tratando de eliminar todas las dependencias vulnerables de log4j de mi proyecto Maven. Estoy utilizando la dependencia log4j 2.16 en mi pom y he añadido exclusiones para log4j y sl4j en otras dependencias. Sin embargo, cada vez que ejecuto la meta de empaquetado de Maven, descarga el jar de . . . Read more
En nuestro proyecto pom.xml usamos la versión 9.1.22 de flying-saucer-pdf-itext5, la cual tiene una dependencia en itextpdf versión 5.5.12. Nuestra pipeline falla debido al paso de OWASP que se queja acerca de itextpdf relacionado con este problema de seguridad: https://nvd.nist.gov/vuln/detail/CVE-2021-43113 Sin embargo, este problema menciona que: iTextPDF en iText antes . . . Read more
Estoy remediando mis aplicaciones Java de Jetty para CVE-2021-44228 y otros hallazgos similares de log4j. Intenté actualizar a la versión 2.17.0, pero no todas mis aplicaciones pueden actualizarse porque algunas dependen de versiones anteriores de Jetty que no funcionan con el nuevo log4j debido a los archivos JAR con múltiples . . . Read more
Basado en este post, haproxy ha proporcionado reglas de acl de mitigación que se pueden utilizar para ayudar a combatir las solicitudes de ataque log4j que se están reenviando a las aplicaciones log4j afectadas. Al leer algunos de los comentarios de los usuarios, me di cuenta de que muchos sistemas . . . Read more
Nuestro sistema es un sistema basado en microservicios. Tiene más de 120 servicios. Se nos recomendó actualizar la versión del log4j en nuestros microservicios a 2.16.0 para mitigar la reciente vulnerabilidad de log4j. Actualmente, nuestros servicios utilizan la versión 2.11.2. ¿No podemos simplemente utilizar -Dlog4j2.formatMsgNoLookups=true para mitigar estas vulnerabilidades?