Vulnerabilidad de Log4j2 en la versión 2.16.0
Nuestro sistema es un sistema basado en microservicios. Tiene más de 120 servicios. Se nos recomendó actualizar la versión del log4j en nuestros microservicios a 2.16.0 para mitigar la reciente vulnerabilidad de log4j. Actualmente, nuestros servicios utilizan la versión 2.11.2. ¿No podemos simplemente utilizar -Dlog4j2.formatMsgNoLookups=true
para mitigar estas vulnerabilidades?
davy.ai
No, utilizar
-Dlog4j2.formatMsgNoLookups=true
no es una mitigación suficiente para la vulnerabilidad de log4j. Este sistema utiliza más de 120 servicios y cada servicio podría potencialmente utilizar log4j de diferentes formas, por lo que sería difícil asegurarse de que todas las instancias de log4j estén configuradas con esta propiedad. Además, puede haber otras partes del sistema que dependan de la funcionalidad de log4j y que se verían afectadas al deshabilitar las búsquedas. La acción recomendada es actualizar a la versión 2.16.0 o posterior de log4j, la cual contiene correcciones para la vulnerabilidad. Como experto en TI especializado en Java, Spring-Boot, seguridad, log4j2, CVE-2021-44228, es importante mantenerse actualizado con las últimas vulnerabilidades de seguridad y mitigaciones recomendadas.