Estimados Clientes,
El día Viernes 10 de Diciembre del 2021 se hizo de conocimiento público una vulnerabilidad crítica (CVE-2021-44228) que afecta potencialmente a todos los sistemas basados en Java que usan la librería de Java Log4j desde su versión 2.0-beta9 a la 2.14.2.
Con respecto a cómo nos afecta esta vulnerabilidad en las plataformas de Modyo, podemos comentar lo siguiente:
- La vulnerabilidad afecta sólo a sistemas basados en Java, por lo que no afecta directamente a la plataforma.
- Las versiones más antiguas de Modyo 7, que dependen del servidor JBoss, utilizan la versión de Log4j 1.2, la cual no está afectada por el incidente.
- Las versiones de Modyo 8 que operan en JRuby (Enterprise On Premise) no utilizan Log4j.
- Los desarrollos de Modyo Connect, basados en SpringBoot, utilizan por defecto la librería estándar de log de Spring, la cual se encuentra basada en Log4j 1.2, la cual no está afectada por el incidente.
Independiente de lo anterior, seguimos monitoreando nuestros sistemas en la búsqueda de cualquier impacto que podría tener el incidente en el resto de las plataformas internas que son utilizadas como parte de los procesos de desarrollo.
Para clientes y partners que desarrollen sus propios micro servicios basados en SpringBoot, la recomendación es asegurar que no se esté usando una librería alternativa de logs. En caso de que esto sea el caso, se recomienda asegurar de contar con la versión parchada de Log4j 2.15.0.
Saludos,
José Antonio
CTO, Modyo