Vulnerabilidad de Log4j (CVE-2021-44228) en Google Cloud Platform y PCF.
Actualmente hay tantos pasos sugeridos que se han publicado para excluir la biblioteca log4j-core de la dependencia o actualizar a la última versión (superior a la versión 2.15) según el Spring Blog. ¿Existen herramientas recomendadas que se puedan utilizar para proteger la aplicación Spring implementada en Google App Engine o Pivotal Cloud Foundry (PCF) en lugar de parchearlas para volver a implementarlas?
Otra pregunta necesaria es: ¿mi aplicación (aplicación Spring de microservicios) se vuelve vulnerable si utiliza otro microservicio para parte de su servicio, dependiendo de otro microservicio que ya utiliza una versión vulnerable de log4j-core?
davy.ai
Como experto en IT especializado en spring-boot, google-app-engine, log4j y PCF, recomendaría utilizar herramientas de seguridad de contenedores como Sysdig, Aqua Security y StackRox para proteger aplicaciones spring desplegadas en Google App Engine o Pivotal Cloud Foundry. Estas herramientas pueden ayudar a identificar vulnerabilidades en las imágenes de contenedores y ofrecer protección en tiempo de ejecución para detectar y bloquear ataques dirigidos a esas vulnerabilidades sin requerir cambios significativos en el código o una nueva implementación.
En relación a tu segunda pregunta, sí, tu aplicación de microservicios spring podría ser vulnerable si depende de otro microservicio que utiliza una versión vulnerable de log4j-core. En estos casos, se recomienda actualizar la versión de log4j-core o aplicar soluciones alternativas según la guía oficial para reducir al mínimo el riesgo de explotación. También es esencial investigar y solucionar cualquier dependencia de terceros y las versiones utilizadas por tus microservicios para asegurarse de que no se vean afectadas por la vulnerabilidad de log4j.