Mirth Connect et la vulnérabilité log4j

Mirth Connect utilise toujours log4j 1.2.16, et n’inclut pas log4j 2.x.

En fait, la classe JndiLookup n’est même pas présente dans le JAR de log4j 1.x. Elle semble avoir été ajoutée dans la version 2.0. Il semble qu’elle ait été ajoutée dans la version 2.x : https://logging.apache.org/log4j/2.x/manual/lookups.html#JndiLookup.

Donc, pour autant que je puisse dire, MC n’est pas affecté par ce CVE, à moins que vous n’incluiez explicitement log4j 2.x comme une bibliothèque personnalisée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *