O que é Log4j no Java?

De CIGAM WIKI

FAQ_Utilidades/Diversos > Ambiente


No dia 09 de dezembro de 2021 uma falha de segurança na biblioteca de software Log4j foi revelada, e causa preocupações aos especialistas. Isso porque a ferramenta é utilizada por diversas empresas ao redor do mundo e a vulnerabilidade pode dar acesso a partes críticas dos aplicativos.

O que é o Log4j?

A Log4j é uma biblioteca que ajuda desenvolvedores a fazer o que é chamado de "logging", que permite salvar registros de interações de uma determinada aplicação, para que se possa analisar a aplicação durante a execução e desenvolvimento.
A Log4j tem uma série de funcionalidades para esse fim e é usada em algumas camadas do Magic xpa.
As informações oficiais sobre essa vulnerabilidade podem ser obtidas nesse link: Log4j – Apache


Como saber se estou sendo afetado?

Será necessário executar esse procedimento somente se é utilizado o Magic xpa versão 3.3x até a 4.7x no ambiente Server com GigaSpaces.
Isso quer dizer que o ambiente Client/Desktop bem como o ambiente Server com Broker não é afetado.


O que esse procedimento de correção irá fazer?

O procedimento irá excluir o arquivo JndiLookup.class de dentro do arquivo compactado do Java log4j-core-2.5.jar.


Como executar o procedimento?

Esse procedimento deve ser feito com o serviço do GigaSpaces parado.
Estão sendo disponibilizados os arquivos Remove_Log4j.bat e zip.exe, Arquivo:Log4j.zip os quais devem ser copiados para a pasta de instalação do Magic xpa.
Se existir mais de uma instalação do Magic xpa, como por exemplos vários servidores, o procedimento deve ser executado em cada um deles.
Depois de copiar os arquivos, execute o arquivo Remove_Log4j.bat como administrador:

log4j


Será aberta a tela com o utilitário, no qual pedirá confirmação para prosseguir:

log4j


Ao confirmar, a remoção será executada:

log4j

Caso a exclusão já tenha sido feita, seja de forma manual ou através desse utilitário, ao executar novamente será emitida uma mensagem que “Nothing to do!”, ou seja, nada a ser feito pois o arquivo JndiLookup.class não está contido no arquivo log4j-core-2.5.jar.

log4j

Caso os arquivos do utilitário tenham sido copiados para a pasta incorreta ou não existir a pasta do GigaSpaces na pasta do Magic xpa, o utilitário irá emitir uma mensagem de erro pedindo que seja verificado:

log4j