Dernièrement, nous avons reçu de nombreuses demandes concernant un bogue dangereux dans la bibliothèque Log4j, et nous nous empressons de vous rassurer :aucun des produits DBeaver n'utilise log4j pour les besoins du programme. Il est tout à fait sûr d'utiliser les dernières versions de DBeaver. Il y a quelques jours, on a découvert une dangereuse vulnérabilité Log4Shell dans l'outil de journalisation Log4j, qui est distribué sous la forme d'une bibliothèque avec le projet Apache Logging. Le problème avec log4j s'applique aux applications serveur qui reçoivent des requêtes HTTP, pas aux applications de bureau telles que DBeaver. Vous pouvez trouver plus d'informations sur la vulnérabilité ici.Quelques remarques supplémentaires :

• Nos versions précédentes, à savoir 7.1, 7.2 et 7.3 Enterprise Edition, contenaient la bibliothèque log4j en tant que dépendance externe facultative.
• Les versions 7.3 à 21.2 utilisaient une version du pilote AWS Redshift, fournie avec log4j en tant que dépendance. Comme il s'agit d'un pilote JDBC, il ne peut pas être utilisé pour des attaques externes.
• De plus, il existe une bibliothèque ant-apache-log4j.jar dans les versions commerciales de DBeaver. Ce fichier jar ne contient pas log4j. C'est un adaptateur de l'outil Ant.

N'hésitez pas à contacter notre équipe d'assistance si vous avez des questions supplémentaires sur dbeaver.com/support. Restez calme et n'oubliez pas de mettre à jour DBeaver vers la version 21.3 !