Wereldwijd wordt gemeld dat log4j een ernstige kwetsbaarheid heeft. GeoServer gebruikt ook log4j, echter een oudere versie, die niet kwetsbaar is.
Ik zie dat verschillende GeoServer websites zijn uitgezet in het weekend.
Van de “makers” van GeoServer hebben we gehoord dat er geen probleem is.
Hoe kijkt de nederlands geo-community hier naar?
Onderzoek en monitoren…
Ik heb gezocht in de Tomcats die ik gebruik naar het gebruik van log4j2, en ik heb idd naar JndiLookup.class gezocht in aanwezige jars.
Daarnaast toch maar -Dlog4j2.formatMsgNoLookups=True toegevoegd aan JVM Tomcat opstart.
Verder idd contact gezocht met Geoserver ontwikkelaars (maar ook met de FROST-Server mensen).
log4j2 is zo’n ‘veelgebruikte log bibliotheek’. Kreeg net ook te horen dat een klant JndiLookup.class hadden gevonden in Tableau installatie (gelukkig op een interne server).
En verder zoals Esri zegt: “Further options for mitigations will be published as they become available.” denk ik: ArcGIS and Apache Log4j Vulnerabilities
GeoServer gebruikt log4j 1.2.17 waarin de kwetsbaarheid niet zou zitten (wel enkele andere, minder eenvoudig uit te buiten kwetsbaarheden). Daarnaast heeft GeoServer een configuratieoptie “log-request-headers” in web.xml. Als die op false staat zouden headers niet gelogd moeten worden en zou GeoServer dus niet vulnerable moeten zijn, ook bij het gebruik van log4j > 2.10.