Discussion :

[crystal_palace]

Bonjour,

Je viens de voir que la bibliothèque Java log4j-1.2.17.jar est installée sur certaines de mes machines SQL Server, et je cherche un plan d'action pour éliminer les risques liés à cette bibliothèque.
Malheureusement, je ne trouve pas de consigne claire de la part de Microsoft pour résoudre ce problème, et il ne semble pas y avoir de date pour une éventuelle mise à jour qui pourrait mettre à jour cette librairie.

Comment avez-vous géré ce problème sur vos serveurs ?

PS : Je n'ai rien trouvé dans le forum à ce sujet dans des posts précédents.

[SQLpro]

MS SQL Server n'a rien à voir avec log4j et ne l'utilise pas.

A +

[crystal_palace]

SQL Server 2019 installe par défaut log4j-1.2.17.jar dans "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars"

Il y a un lien avec les features suivantes:

- Machine Learning (2019+)
- Polybase
- SQL Big Data Clusters

Perso, j'ai supprimé le fichier en suivant les conseils de l'article suivant :

https://www.sul.de/2021/12/17/log4j-...ise-betroffen/

[mikedavem]

Il y a un article Microsoft sur le sujet (https://msrc-blog.microsoft.com/2021...windows-all-ed) et effectivement en fonction des éléments installés SQL Server est bien concerné.

++

[SQLpro]

C'est pas SQL Server qui est directement concerné. Ce sont des outils externe et libre que SQL Server rajoute pour étendre son offre...

A +