maven

[UPDATE] Log4j RCE 0-day vulnerability (CVE-2021-44228) mitigation actions

Posted by Alexius Dionysius Diakogiannis on in Security 3 Comments
CVE-2021-44228 - Log4j RCE 0-day mitigation

UPDATE 14/12/2021

I had an update from my very good friend and excellent consultant Stella Varvarigou in which she explained me that setting com.sun.jndi.rmi.object.trustURLCodebase and com.sun.jndi.cosnaming.object.trustURLCodebase to false does not fully mitigate the threat as it is possible to send the exploit code with the request.  [2]

Introduction

Apache Log4j, the most popular logging system, has announced a zero-day exploit CVE-2021-44228 on December 9, 2021 that results in remote code execution. Let’s analyze whys this happened and what can be done in order to mitigate the risk. Continue reading “[UPDATE] Log4j RCE 0-day vulnerability (CVE-2021-44228) mitigation actions”

Missing indirectly referenced artifact javax.transaction:jta:jar:1.0.1B:compile

Posted by Alexius Dionysius Diakogiannis on in Frameworks, Hibernate, JEE, Open Source

Λόγω της αλλαγής της αδειοδότησης το JTA δεν είναι διαθέσιμο στα κεντρικά αποθετήρια του maven. Οπότε αν έχουμε ένα dependency που το χρειάζεται όπως πχ το hibernate-annotations τότε πρέπει να το εγκαταστήσουμε με το χέρι.

Κατεβάζουμε αρχικά απο το http://download.java.net/maven/2/javax/transaction/jta/1.0.1B/ το jta-1.0.1B.jar και το βάζουμε σε μια διαδρομή στο δίσκο, έστω ότι είναι η /tmp  (c:\temp στα windows)

Μετά τρέχουμε το

[bash]

mvn install:install-file -DgroupId=javax.transaction -DartifactId=jta -Dversion=1.0.1B -Dpackaging=jar -Dfile=/tmp/jta-1.0.1B.jar

[/bash]

ή στα windows

[bash]

mvn install:install-file -DgroupId=javax.transaction -DartifactId=jta -Dversion=1.0.1B -Dpackaging=jar -Dfile=c:/temp/jta-1.0.1B.jar

[/bash]

Αν δούμε το μαγικό

 [INFO] ————————————————————————

[INFO] BUILD SUCCESSFUL

[INFO] ————————————————————————

Τότε είμαστε έτοιμοι!