TOS et Log4j

Bonjour,

Dans l'actualité du moment il y a les histoires de faille de sécurité Log4j (CVE-2021-44228, CVE-2021-45105, CVE-2021-45046, ...).
Mon message a but de savoir comment vous avez pu traiter ce "petit problème" avec TALEND.

De mon coté, sur Talend 6, j'ai simplement limité la casse en mettant -Dlog4j2.formatMsgNoLookups=true à la fin de mon fichier TOS_DI-win-x86_64.ini
Pour mon responsable sécurité : "C'est un début mais ce n'est pas suffisant".

En complément, nous avançons donc sur le passage vers les dernières versions de TOS 8.

Merci par avance pour vos POST.
Amar.

Salut,

Talend a publié une note de suivi sur ce sujet : https://www.talend.com/security/incident-response/
Pour l'instant ils ne parlent que de leurs outils avec licence, mais on peut généraliser aux outils communautaires.

Sinon je suis assez d'accord avec ton responsable sécurité, comme indiqué sur la page log4j, cette solution n'est pas suffisante : https://logging.apache.org/log4j/2.x/security.html
Et à priori tu ne l'appliques qu'à ton studio, pas aux jobs que tu déploies.

Pour l'instant, Talend ne propose rien de plus si ce n'est la migration à la v8 qui utilise du java 11, mais cette version reste assez jeune...
D'après ce que j'ai compris, ils bossent sur des patchs pour les v7. Mais aucune info sur les dates de dispo.

Nicolas

Bonjour,

J'ai enfin pu lever se problème.
Je cherchais éperdument un fichier "log4j-2.17.1.jar" alors qu'il me fallait le fichier "log4j-core-2.17.1.jar".
- Dans Fenêtre -> Afficher la vue -> Module
- dans la zone de texte je tape "log4j"
- je vais sur l'URL Maven et que je fais les 3 petits points
- je sélectionne le bon jar -> "log4j-core-2.17.1.jar"
et ça à l'air de marcher.

Cordialement,
Amar.