Le 10 décembre 2021, une vulnérabilité majeure a été découverte dans log4j, une bibliothèque de logging très commune en java : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
La faille concerne les versions 2.0 à 2.14 de log4j, ainsi que les versions 1.x qui utilisent un appender JMS et qui spécifient explicitement la prise en compte de ressources JNDI.
Depuis la V13 PTF06 d'Adélia Studio, log4j est utilisé dans les applications java générées avec Adélia pour tout ce qui concerne la génération de traces, quel que soit leur contexte (java lourd, cloud, web, services web, parties serveur java...).
La version utilisée dans Adélia est la version 1.2.17 sans l'utilisation de l'appender JMS.
Les applications java générées avec Adélia Studio ne sont donc pas concernées par la vulnérabilité en question.
Les autres composants du produit comme l'Adelia Print Engine, le service du dépôt de code source et le service de gestion des licences, bien qu'utilisant Log4j2 au travers de SpringBoot, ne sont pas concernés par la faille, la dépendance log4j-core faillible n'étant pas distribuée (cf. https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot)