# Faille log4j dans Xcode 13.2 ?



## free00 (18 Décembre 2021)

Bonjour,

J'ai voulu déterminer si mon Mac était vulnérable aux failles log4j dont tout le monde en ce moment.

J'ai téléchargé https://github.com/mergebase/log4j-detector
et en lançant la commande :
java -jar log4j-detector-2021.12.16.jar /Applications

J'obtiens ce message :

/Applications/Xcode.app/Contents/SharedFrameworks/ContentDeliveryServices.framework/Versions/A/itms/share/OSGi-Bundles/org.apache.logging.log4j.core-2.11.2.jar contains Log4J-2.x   >= 2.10.0 _VULNERABLE_ :-(

Je possède la dernière version de Xcode (13.2) et je suis assez surpris de ne pas reçu de correctifs.

Comment puis-je corriger le problème ? Est-ce qu'il y a un script pour mettre à jour ce jar ? Est-ce que je peux supprimer directement ce fichier de mon Mac ?

Merci pour vos réponses


----------



## free00 (22 Décembre 2021)

J'ai trouvé un développeur qui a crée un programme pour supprimer la librairie qui pose problème :


```
wget [URL]https://github.com/AlexandreHeroux/Fix-CVE-2021-44228/raw/main/dist/fix-CVE-2021-44228-1.0.1.jar[/URL]
sudo java -jar fix-CVE-2021-44228-1.0.0.jar /Applications/Xcode.app/Contents/SharedFrameworks/ContentDeliveryServices.framework/Versions/A/itms/share/OSGi-Bundles/
```

Comme on peut le voir dans son code 








						Fix-CVE-2021-44228/FixCVE202144228.java at main · AlexandreHeroux/Fix-CVE-2021-44228
					

Apply class remove process from ear/war/jar/zip archive, see https://logging.apache.org/log4j/2.x/ - Fix-CVE-2021-44228/FixCVE202144228.java at main · AlexandreHeroux/Fix-CVE-2021-44228




					github.com
				




C'est équivalent à faire ces commandes :
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
zip -q -d log4j-core-*.jar org/apache/log4j/net/JMSAppender.class


----------

