Безопасность программного обеспечения и сохранность личных и коммерческих данных – важные вопросы современного мира.
Что такое Log4j?
Log4j – это популярная библиотека журналирования Java-программ, использующаяся для записи логов. Библиотека является частью Apache Logging Project.Что случилось?
9 декабря 2021 года стало известно о критической уязвимости Log4j – CVE-2021-44228. Она позволяет выполнять произвольный код, что может приводить к утечки данных. Уязвимость затронула огромное количество проектов: от iCloud до Steam.
Как это касается пользователей Stimulsoft?
Проблема, связанная с уязвимостью Log4j может коснуться пользователей только одного продукта – Stimulsoft Reports.Java. Однако напрямую наш продукт не использует библиотеку Log4j.Для работы с изображениями формата SVG мы применяем библиотеку Apache™ Batik SVG Toolkit, которая использует commons-logging, которая, в свою очередь, может взаимодействовать с Log4j (если ваша система на это настроена).
Что нужно делать?
Проблема уязвимости уже устранена в Log4j 2.12.2 и Log4j 2.17.0. Если вы работаете на Java 8 (или более поздней версии) – обновите Log4j до версии 2.17.0. Если вы работаете на Java 7 – обновите Log4j до версии 2.12.2.В противном случае, удалите JndiLookup класс из classpath:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Имейте в виду, что данная уязвимость влияет только на log4j-core JAR файл. Уязвимость не затрагивает приложения, использующие только log4j-api JAR файл без log4j-core JAR файла.