Si par hasard, on a un doute sur log4j (CVE-2021-44228), et que l'on utilise Play Framework (2)/sbt, on peut rapidement savoir si on est dans la semoule (une version < 2.15 ou pire inférieur à 2.10.0) :
sbt dependencyTree | grep log4j #dependencyTree est de base dans SBT maintenantPour en savoir un peu plus, on peut regarder avec l'analyse de dépendances depuis un terminal (sbt versions >= 0.13.10)
echo 'addSbtPlugin("net.virtual-void" % "sbt-dependency-graph" % "0.10.0-RC1")' >> project/plugins.sbt
sbt "whatDependsOn org.apache.logging.log4j log4j-core"
Les fixs, le truc que j'ai trouvé le plus simple pour passer le week-end "normalement", on ajoute ça aux lanceurs java du côté de la prod :
-Dlog4j2.formatMsgNoLookups=TrueOn bump la dépendance à 2.15.0 (si possible).
libraryDependencies += "org.apache.logging.log4j" % "log4j-core" % "2.15.0"Bon week-end !
Plus d’infos :
Log4j –
https://logging.apache.org/log4j/2.x/security.htmlCVE - CVE-2021-44228
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228