Fixes de segurança (log4j, xstream, guava, etc.)

[Carlos Spohr]

Bom dia pessoal, tudo bem ?

Tivemos algumas falhas de segurança consideráveis divulgadas em algumas libs comuns e algumas acabaram afetando o VRaptor 4.

Para resolver a minha vida aqui na empresa, eu acabei fazendo um fork do projeto vraptor-core na versão 4.3.0 (beta) e fiz um upgrade das seguintes dependências:

1. Exclusão da logj4 1.x e inclusão da log4j2;
2. Upgrade do guava para a 31.0.1-jre;
3. Upgrade do xstream para 1.4.18;
4. Upgrade do gson para a 2.8.9;

Ajustei a instanciação dos loggers nos componentes e lógicas internas do framework para atender o log4j2.

Melhorias

Temos muitas integrações e retornos de webhook onde temos que consumir objetos JSON direto no body dos requests...e cada sistema tem uma forma de informar as datas, umas estão como dd/mm/yyyy, outras em formato de banco, e por aí vai....

Para facilitar esse tipo de situação sem precisar ter que usar a request.getReader(), eu adicionei um novo parâmetro para a @Consumes onde eu posso passar uma implementação da interface GsonInterfaceBuilder, isso facilita muito a vida quando você tem que lidar com JSONs de diferentes sistemas dentro de uma aplicação única.

Não sei se mais alguém também está usando o vraptor, mas caso for interessante para vocês, poderíamos ver para adicionar estes ajustes na versão.

Segue o link do meu fork: https://github.com/carlosspohr/vraptor4/tree/master/vraptor-core

[anderson...@gmail.com]

Top, será que não poderia ser feito um "VRaptorLogger" abstraindo a lib e log utilizada, fazendo uma espécie de delegate para o log4j? Mas é uma pena o pessoal ter abandonado o projeto. Essa melhoria de segurança poderiam aceitar um PR lá.

[Valério]

O SLF4J já faz esse papel, e salvo engano o Vraptor já usa

--
Você recebeu essa mensagem porque está inscrito no grupo "caelum-vraptor" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para caelum-vrapto...@googlegroups.com.
Para ver essa discussão na Web, acesse https://groups.google.com/d/msgid/caelum-vraptor/bac6c4a8-b49b-4636-8cba-72ee16736186n%40googlegroups.com.

[Carlos Spohr]

Boa tarde pessoal,

Me parece mesmo que o projeto foi descontinuado, uma pena, mas outros frameworks vieram forte e estão bem legais.

Vou deixar de dica o que eu fiz pra mitigar a chuva de vulnerabilidades que saíram esses dias...

1. Fiz um fork do vraptor-core e ajustei a alteração das bibliotecas e algumas chamadas de código.
2. Internamente, vinculamos os nossos (e alguns projetos particulares meus) a esse fork, e incluímos no processo de build como um projeto local...meio chato isso mas resolveu.
3. Algumas aplicações web p/ API interna ou micro-serviço, normalmente sem view, já iniciamos o processo de migração para o spring-boot.
4. Se você tem um build manual, inclua o fork como um repositório local que deve ser buildado antes da aplicação que irá rodar sobre ele (ordem de compilação).

Abraços galera []s