Si par hasard, on a un doute sur log4j (CVE-2021-44228), et que l'on utilise Play Framework (2)/sbt, on peut rapidement savoir si on est dans la semoule (une version < 2.15 ou pire inférieur à 2.10.0) :

sbt dependencyTree | grep log4j #dependencyTree est de base dans SBT maintenant

Pour en savoir un peu plus, on peut regarder avec l'analyse de dépendances depuis un terminal (sbt versions >= 0.13.10)

echo 'addSbtPlugin("net.virtual-void" % "sbt-dependency-graph" % "0.10.0-RC1")' >> project/plugins.sbt
sbt "whatDependsOn org.apache.logging.log4j log4j-core"


Les fixs, le truc que j'ai trouvé le plus simple pour passer le week-end "normalement", on ajoute ça aux lanceurs java du côté de la prod :

-Dlog4j2.formatMsgNoLookups=True

On bump la dépendance à 2.15.0 (si possible).

libraryDependencies += "org.apache.logging.log4j" % "log4j-core" % "2.15.0"

Bon week-end !

Plus d’infos :
Apache Log4j Security Vulnerabilities
CVE - CVE-2021-44228