Vulnerabilidade Crítica Afeta Biblioteca Java Log4J
No dia 10 de Dezembro foi anunciada grave vulnerabilidade que afeta a biblioteca Log4J, que é amplamente utilizada em projetos Java. A biblioteca facilita muito a geração de arquivos de log.
A vulnerabilidade, chamada de Log4Shell ou LogJam [1], permite a execução de código remoto arbitrário com extrema facilidade. Inicialmente havia informações de que apenas as versões acima de 2.0 eram afetadas, mas posteriormente foi descoberto que versões 1.X também podem apresentar o problema. Portanto, o downgrade não é recomendado como solução. A solução até o momento é o upgrade para a versão 2.15.0 [2].
É importante observar que, devido ao sistema de dependências dos pacotes Java, diversas bibliotecas vulneráveis podem estar sendo usadas em arquivos .JAR embutidos. Por isso, é importante analisar toda a árvore de dependências de seu projeto Java. Existem ferramentas que podem ajudar na busca por vulnerabilidades nas árvores de dependência de projetos. O Syft (https://github.com/anchore/syft) permite a busca por dependências e o Grype (https://github.com/anchore/grype) é um scanner de vulnerabilidades. Usados em conjunto, facilitam a busca por bibliotecas que apresentam o problema [3]
[1] https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/
[2] https://logging.apache.org/log4j/2.x/security.html
[3] https://www.infoworld.com/article/3644492/how-to-detect-the-log4j-vulnerability-in-your-applications.html