Formalizando a posição da TOTVS, referente ao exploit do log4j.
Fluig - Plataforma - CON - Vulnerabilidade da biblioteca log4j do Apache (CVE-2021-44228)
Dúvida
O Fluig está exposto à vulnerabilidade do log4j do Apache (CVE-2021-44228)?
Ambiente
TOTVS Fluig Plataforma - Configurações técnicas - Todas as versões
Solução
A vulnerabilidade (CVE-2021-44228) da biblioteca log4j do Apache, ocorre nas versões 2.0 (beta) até a versão 2.14. do Apache.
O Fluig utiliza a versão 1.7 do Apache, que não se enquadra na vulnerabilidade CVE-2021-44228, pois se encontra em uma versão anterior as versões em que a vulnerabilidade foi encontrada.
Nos arquivos do Fluig é possível encontrar arquivos descritos como log4j nas versões 2.11, porém essa biblioteca é do Solr (indexador). O Solr é um serviço interno da plataforma Fluig, que não se enquadra na vulnerabilidade CVE-2021-44228.
O Fluig irá liberar uma release nos próximos dias com o Solr atualizado. Portanto, no momento, é necessário verificar se o Solr está no modo público, caso esteja, recomenda-se que a habilitação seja somente para a rede interna do servidor Fluig.
Para mais informações, consulte a nota liberada do Solr: Solr™ Security News - Apache Solr