La faille concerne toutes les versions de log4j 2.x . Elle est corrigée dans la version 2.15.0 .
Techniques pour fermer le trou de sécurité
- technique "mettre à jour" : remplacer les jars de log4j-core par la version 2.15.0 (attention maven central fournit une version compilée pour Java ≥ 8)
technique "zip" : supprimer la classe du jar
Bloc de code language bash zip -q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
technique "configurer" : si log4j-core ≥ 2.10, ajouter ceci à la ligne de commande java
Bloc de code language bash -Dlog4j2.formatMsgNoLookups=true
- technique "firewall" : empêcher les requêtes TCP sortantes du serveur
NB : il faut bien sûr redémarrer le service pour appliquer la modification (sauf pour la technique "firewall")
...