Vulnerabilidade de segurança CVE-2021-4104 para log4j 1.2

demoiselle / signer

Repositório que contém os componentes para facilitar a implementação de assinatura digital nos padrões da ICP-BRASIL

GNU Lesser General Public License v3.0

142 stars 73 forks source link

Closed tobiasrdm closed 2 years ago

tobiasrdm commented 2 years ago

O demoselle signer utiliza log4j versão 1.2.16.

O log4j 1.x tem a vulnerabilidade de segurança CVE-2021-4104.

Para corrigir é recomendável atualizar para a versão mais recente do log4j 2.

esaito commented 2 years ago

Na verdade o Demoiselle não usa log4j usa o https://www.slf4j.org que não tem essa vulnerabilidade, https://www.slf4j.org/log4shell.html Mas o upgrade da versão do componente é bem vinda.