Concernant la vulnérabilité Log4J signalée (CVE-2021-44228),
vous devez savoir que GitLab n’utilise pas les packages Log4j ou Log4j2.
GitLab a été écrit à l’aide de Ruby, JS et Go, il utilise donc différentes bibliothèques de journaux.
Si vous utilisez les fonctionnalités de recherche avancée ou de recherche de code de GitLab (disponibles dans l’édition payante, y compris Premium, Ultimate et Starter)
vous devez savoir qu’il exécute Elastic (ElasticSearch) en arrière-plan, vous devez donc vérifier ici les versions installées et un remède.
Vous pouvez utiliser des scanners de sécurité de code et des scanners de vulnérabilités disponibles dans GitLab Ultimate pour détecter les futures vulnérabilités de Java (et d’autres langages).
Liens important
- Notre GitLab webpage
- A propos de code security scanners in GitLab
