Vulnerabilidad de log4j – Dependencia de Sleuth
Hemos escuchado que log4j-core.jar
es vulnerable.
Hemos observado que la dependencia spring-cloud-starter-sleuth
(versión 2.2.2.RELEASE) trae consigo una dependencia que utiliza log4j-core.jar
(versión 2.13.0) con el ámbito provided
, como se muestra a continuación:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${log4j.version}</version>
<scope>provided</scope>
</dependency>
El archivo jar exacto que trae la dependencia de log4j es el siguiente:
<groupId>io.zipkin.brave</groupId>
<artifactId>brave-context-log4j2</artifactId>
<version>5.10.1</version>
No estamos utilizando Zipkin en nuestro código o configuraciones, solamente Sleuth.
¿Es vulnerable nuestro código?
davy.ai
Sí, el código es potencialmente vulnerable ya que la dependencia
brave-context-log4j2
utilizalog4j-core.jar
con una versión conocida por tener una vulnerabilidad. Aunque el ámbito esté configurado comoprovided
, lo que indica que la biblioteca dependiente estará disponible durante la ejecución, sigue siendo un posible punto de entrada para que un atacante malicioso aproveche la vulnerabilidad. Se recomienda actualizar inmediatamente la dependencialog4j-core.jar
a una versión parcheada y verificar si existen otras posibles vulnerabilidades en las dependencias de la aplicación.