Como muchos ya saben el día viernes 10/12/2021 se publicó una vulnerabilidad catalogada con el máximo nivel de riesgo para la librería Log4J para las versiones 2.0.X hasta la versión 2.14.1 (para conecer mas de esta vulnerabilidad puedes ir a este enlace CVE-2021-44228 ), esta situación alerto a muchas empresas y muchos equipos de tecnología tuvieron que salir corriendo para identificar los proyectos que usaban esta librería para ir a solventarlo.

Es por esto se quiero dejarles una formula que podría ayudar con esta caótica hazaña, cabe mencionar que este método solo es valido para aquellos usuarios que emplean Maven como empaquetador.

Validación de Dependencias

Para verificar si un proyecto posee la vulnerabilidad detectada para log4j podemos ejecutar la siguiente sentencia

mvn dependency:list | grep "log4j-core:jar:2." | awk '{ print $2 }'

Esta nos devolverá específicamente la dependencia de log4j-core que posee el inconveniente, si no obtenemos ningún resultado entonces nuestro proyecto no esta vulnerable.

Ejemplo:

mvn dependency:list | grep "log4j-core:jar:2." |  awk '{ print $2 }'

org.apache.logging.log4j:log4j-core:jar:2.14.0:compile

Como vemos en este caso el comando nos arrojo el mensaje org.apache.logging.log4j:log4j-core:jar:2.14.0:compile indicandonos que la version 2.14.0 de log4j esta presente en el proyecto por lo debemos ir a resolverlo cuanto antes.