Le 9 décembre 2021, le chercheur en sécurité p0rz9 a publié sur Twitter des informations sur une nouvelle vulnérabilité critique CVE-2021-44228 et CVE-2021-45046 liée à Apache Log4J.
Suite à cela, nous avons vérifié si nous étions touchés par cette faille grâce à la procédure décrite dans l’article:
- la plateforme inclut log4j2 mais uniquement le JAR API pour quelques dépendances tierces
- la plateforme utilise une autre implémentation de cette API qui ne fait que rediriger les appels de log4j2 vers l’API slf4j
- la plateforme n’utilise pas log4j2 pour écrire ses fichiers de logs, mais une autre API
En conséquence, la plateforme Ontomantics n’est pas touchée par cette faille Log4Shell car le fichier incriminé n’est pas présent dans la plateforme.