SonarQube וחולשת Log4J
עדכון בנוגע לחולשת Log4J שהתגלתה בסוף השבוע האחרון ובהקשר ל- SonarQube:
יצרן SonarQube כותב כאן שהמוצר עצמו לא עושה שימוש ישיר בספריה הנ"ל,
כך שאין חשש לפגיעה ב- SonarQube בגירסאות האחרונות (9.2.1 ו- 8.9 ).
יחד עם זאת, ב- SonarQube יש קריאה לרכיב של Elastic (ElasticSearch) שבעצמו קורא ל- log4j , כך שיתכן וכאן יש סיכון.
מידע נוסף ודרכי פתרון כאן.
מס' החולשה הוא CVE-2021-44228.
קישורים רלבנטים:
- אתר SonarQube ישראל (עברית)
- מידע נוסף על החולשה (אתר NIST – אנגלית)
- הסבר על חולשת Log4J (עברית)
