Tag: LOG4J2
Se encontró una grave vulnerabilidad de seguridad en log4j2 <= 2.14.1 (ver https://nvd.nist.gov/vuln/detail/CVE-2021-44228). ¿Cómo puedo actualizar el pom.xml de una aplicación Spring Boot para asegurarme de que todas las aplicaciones (recursivas) de log4j2 utilicen la versión 2.15.0?
Hay una grave falla de seguridad en Log4J que aparentemente ha sido parchada. Pero no he encontrado una explicación comprensible de cómo podría haber una falla de seguridad en un marco de registro. Parece tener algo que ver con “Lookups”. https://logging.apache.org/log4j/2.x/manual/lookups.html Pero eso está en un archivo de configuración, ¿no . . . Read more
Estamos utilizando un proyecto de Maven y necesitamos verificar si estamos utilizando log4j o log4j2 en la aplicación de Java. Por favor, guíame en la mejor práctica. A continuación se encuentra mi pom.xml: <properties> <!– Evitar advertencias sobre la codificación de la plataforma –> <project.build.sourceencoding>UTF-8</project.build.sourceencoding> <powermock.version>1.6.2</powermock.version> <log4j.version>2.3</log4j.version> </properties> <dependencies> <dependency> . . . Read more
Como hemos visto en las noticias, se ha informado sobre una nueva vulnerabilidad de día cero contra la popular biblioteca Log4J2, la cual permite a un atacante ejecutar código de forma remota. En nuestra aplicación, todavía estamos utilizando la siguiente dependencia de log4j. <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> ¿El problema . . . Read more
¿Log4j2 tiene riesgo JNDI si siempre formateas el registro? this.logger.info(“tu código de entrada: {}”, code);