Scanerul meu de vulnerabilități a semnalat recent o instalare neacceptată a Apache Log4j într-o versiune de MS SQL pe care tocmai am implementat-o recent (SQL 2019). Determină două constatări cu prioritate ridicată pe care trebuie să le rezolv. Pare să fie, în mod specific, fișierul log4j-1.2.17.jar care este implicat.
Evident, există o versiune 2.17.1 disponibilă aici: https://logging.apache.org/log4j/2.x/download.html
Din pacate nu stiu cum sa-l folosesc. Nu există niciun program de instalare, doar o grămadă de fișiere. Același site are o secțiune de articole care par a fi orientate spre modul în care dezvoltatorii pot folosi Apache2 (care pare să fie ceea ce este de fapt această colecție de fișiere), dar nu sunt un dezvoltator, doar un manager de sisteme. Bănuiesc că aceasta nu este doar o operație de glisare și plasare, deoarece sunt sigur că fișierul marcat este apelat de aplicație cumva.
Din păcate, pe lângă faptul că nu sunt un dezvoltator, nu am o înțelegere detaliată a modului în care funcționează de fapt MS SQL 2019, așa că nu știu ce ar merge prost dacă pur și simplu aș schimba acel fișier cu unul nou manual (și nu există candidat clar pentru asta oricum).
Există îndrumări despre cum să migrați între versiunile de Apache pentru aplicațiile care instalează o anumită versiune pentru uzul propriu?
