es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Vulnerabilidad de log4j con avro-tools-1.9.1.jar.

02 Aug, 2023 Programación

Apache Avro escaneo muestra la vulnerabilidad de log4j.
¿Cómo deshacerse de ello?
Intenté con:

java -jar target/log4j-detector-latest.jar /c/workspace/sampleApp

— github.com/mergebase/log4j-detector v2021.12.29 (por mergebase.com) analizando rutas (podría llevar un tiempo).
— Nota: especifique la bandera ‘–verbose’ para que se imprima en STDERR cada archivo examinado.
C:\workspace\sampleApp\target\SampleApp\WEB-INF\lib\avro-tools-1.9.1.jar contiene Log4J-1.x <= 1.2.17 ANTIGUO

He intentado actualizar a la versión 1.11.0 de avro-tools y también muestra el mismo problema.

Tags:  , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Para deshacerte de la vulnerabilidad de Log4j en Apache Avro, puedes seguir los siguientes pasos:

    1. Identifica las versiones afectadas de Log4j en tu sistema ejecutando una herramienta de escaneo de Log4j como log4j-detector.

    2. Una vez hayas identificado las versiones afectadas de Log4j, actualiza a una versión parcheada o no afectada de Log4j. La última versión parcheada de Log4j es la 2.17.0.

    3. Además, si estás utilizando herramientas de Avro que contienen la versión afectada de Log4j, actualiza a una versión más nueva de Avro que incluya la versión parcheada de Log4j. Como mencionó el autor de esta pregunta, actualizar a la versión 1.11.0 de las herramientas de Avro no resolvió el problema, pero puede haber otras versiones de Avro que incluyan la versión parcheada de Log4j.

    4. Después de actualizar Log4j y Avro, asegúrate de probar tu sistema minuciosamente para asegurarte de eliminar la vulnerabilidad. También puede que quieras implementar medidas de seguridad adicionales, como segmentación de red y controles de acceso, para reducir aún más el riesgo de explotación.

Comments are closed.