...
- non concerné SAUF si vous utilisez le docker fourni par InCommon
esup-dematec
- embarque des librairies log4j-2 à supprimer : log4j-api-2.8.2.jar log4j-core-2.8.2.jar
- version 1.8.0 propose ce correctif - EsupDematEC - Changelog
Applications non concernées
- esup-ecandidat
- esup-mdw ()
- esup-pod
- esup-pstage
- esup-signature
esup-smsu
esupUserApps / ProlongationENT
- esup-sgc
- esup-nfc-tag
- esup-papercut
- esup-pay
- esup-helpdesk
- uportal et portlets associées
- shibboleth idp (sauf docker)
- bbb 2.2
- ametys odf
- ade
- ksup
esup-dematec - elle embarque des librairies log4j-2 qui ne sont pas utilisées : log4j (1) est utilisé : configuration par log4j.properties
- ...Ametys ODF
Librairies log Java
Pour déterminer si une application java est impactée il faut déterminer quelle librairie de log est utilisée.
En java, 3 librairies (implémentations) de logs sont principalement utilisées : log4j, log4j2 et logback.
log4j est la librairie historique : elle est encore très utilisée. log4j est un projet distinct de log4j2
On peut trouver d'anciennes librairies telles que commons-logging qui offrent une couche d'abstraction à log4j.
log4j tend . Elle tend à être remplacée par log4j2 ou logback.
slf4j peut - être utilisée comme API (couche d'abstraction) au dessus de ces librairies ; pour le développeur cela permet théoriquement de changer d'implémentation rapidement (passer de log4j2 à logback par exemple).
En tant qu'exploitant vous pouvez retrouver ces librairies sous forme de jar. Au niveau des sources, on retrouve leurs références généralement dans des fichiers pom.xml (maven) ou build.gradle (gradle).
Vous pouvez aussi +/- retrouver l'implémentation de librairie de logs utilisée suivant les configurations de ces logs ; même si il peut y avoir des variantes, adaptation du développeur, configurations implicites ... :
- log4j.properties, ... : log4j,
- log4j2.properties, log4j2.xml, ... : log4j2,
- logback.xml, ... : logback
Analyse des logs
Exemple avec un serveur Apereo CAS
...