Log4shell

[quentinproust]

Bonjour,

L'alerte de sécurité a été mise à jour aujourd'hui : CERTFR-2021-ALE-022.

Il est désormais conseillé de mettre à jours vers Log4j 2.16.0 suite à la CVE-2021-45046, ce qui signifierait que la release 1.10.5 ne serait pas suffisante.

Mais je m'interroge 🤔 Izanami est-il vraiment impacté par cette faille ?

• Dans le build.sbt, je ne vois pas de configuration remplaçant l'utilisation de Logback par Log4j.
• Le fichier de configuration des logs par défaut est logback.xml
• Par contre, je vois bien l'ajout de log4j-core pour les tests : https://github.com/MAIF/izanami/blob/master/izanami-server/build.sbt

Peut être s'agit-il d'un ancien ajout qui n'est plus pertinent et qu'il conviendrait de nettoyer pour enlever le doute ?

[pierrebruninmaif]

Bonjour Quentin,

La vul concerne le module log4j-core. Les binaires d'Izanami (jar, zip, etc) embarquent le module log4j-api, Izanami n'est donc pas impacté par cette vul. Cela étant, pour éviter les doutes / inquiétudes / interrogations et des alertes venant d'outils, une nouvelle version d'Izanami avec log4j 2.15.0 a été publiée en début de semaine. Dans la même idée, une autre version d'Izanami avec Log4j 2.16.0 va être publiée.

[quentinproust]

Merci pour votre retour rapide.

Nous avions conclu suite à une rapide analyse qu'Izanami n'était pas impactée mais la release 1.10.5 nous avait mis le doute, nous avions patché pour être sûr. C'est un bon moyen pour mettre à jour les versions rapidement 😄

Avec la réponse apportée, le doute n'est plus présent 👍