Tag: LOG4J2
Tengo un Elasticsearch de producción que utiliza log4j y es vulnerable. ./lib/log4j-api-2.11.1.jar ./lib/log4j-core-2.11.1.jar Debido a que es un entorno de producción, no quiero reiniciarlo. Vi que alguien dijo que se podría recargar en caliente de la siguiente manera: aún puedes mitigarlo en esos casos reemplazando %m, %msg y %message en . . . Read more
Estamos utilizando Java para uno de nuestros servicios que utiliza la biblioteca log4j2. A partir del 10 de diciembre de 2021, se encontró una vulnerabilidad para ejecutar código remoto en Java utilizando log4j2. Me pregunto cuál es la mejor forma de abordar esto. ¿Será adecuado simplemente utilizar otra biblioteca de . . . Read more
Mi aplicación está utilizando Log4j 2.11.1 actualmente. Debido a las vulnerabilidades de seguridad de Log4j reportadas hace un par de días, necesito actualizar a Log4j 2.15.0. Sin embargo, falla cuando despliego mi aplicación en un servidor Linux. Aquí está el mensaje de error: [ERROR] No se pudo ejecutar el objetivo . . . Read more
Configuro mi Log4j con un archivo XML. ¿Dónde debo añadir formatMsgNoLookups=true? <?xml version=”1.0″ encoding=”UTF-8″?> <!– Configuración para comparar archivos de carga –> <configuration status=”OFF”> <appenders> <console name=”Console” target=”SYSTEM_OUT”> <patternlayout pattern=”%d{HH:mm:ss} %p – %msg%n”></patternlayout> </console> <!– http://logging.apache.org/log4j/2.x/manual/appenders.html#RollingFileAppender –> <rollingfile name=”File” filename=”logs/MyLogFile.log” filepattern=”logs/MyLogFile-%d{yyyy-MM-dd}.log” ignoreexceptions=”false”> <patternlayout> <pattern>%d %p %c{1.} %m%n</pattern> </patternlayout> </rollingfile> </appenders> . . . Read more
por ejemplo, en mi archivo pom.xml <dependency> <groupid>org.apache.logging.log4j</groupid> <artifactid>log4j-api</artifactid> <version>2.15.0</version> </dependency> <dependency> <groupid>org.apache.logging.log4j</groupid> <artifactid>log4j-core</artifactid> <version>2.15.0</version> </dependency> por alguna razón, el grafo de dependencias se ve así: Así que hay una versión conflicto de log4j-api (2.7 vs 2.15). Para solucionarlo, puedo excluir explícitamente log4j-api en la dependencia de log4j-core. Sin embargo, . . . Read more