Is Apache Maven vulnerable to log4shell

["Sesterhenn, Jörg" <Jo...@debeka.de>]

Hi,

we are wondering if Apache Maven (in any version) might be vulnerable to log4shell in any way.
Can someone please provide a response to this question. Thank you in advance!

Regards,

Jörg Sesterhenn

--
Jörg Sesterhenn
Hauptreferent

Debeka Krankenversicherungsverein a. G.
Debeka Lebensversicherungsverein a. G.
Debeka Allgemeine Versicherung AG
Debeka Pensionskasse AG
Debeka Bausparkasse AG

Abteilung IT-Grundlagen & -Engineering
IT-Prozesse und Automatisierung (IE/P)
56058 Koblenz

Telefon: (02 61) 4 98 - 14 55
Telefax: (02 61) 4 98 - 15 41

E-Mail: joerg.sesterhenn@debeka.de<ma...@debeka.de>
Internet: www.debeka.de<http://www.debeka.de>

Besuchen Sie uns auch in sozialen Netzwerken.
Unsere Adressen finden Sie hier: www.debeka.de/socialmedia<http://www.debeka.de/socialmedia>

Pflichtangaben der Debeka-Unternehmen
gemäß § 35a GmbHG / § 80 AktG: www.debeka.de/pflichtangaben<http://www.debeka.de/pflichtangaben>

Re: Is Apache Maven vulnerable to log4shell

[Karl Heinz Marbaise <kh...@gmx.de>]

Hi,

On 15.12.21 17:32, Sesterhenn, Jörg wrote:
> Hi,
>
> we are wondering if Apache Maven (in any version) might be vulnerable to log4shell in any way.
> Can someone please provide a response to this question. Thank you in advance!


First Maven itself will not run in a Server app only on command line
once...so in general it is not possilbe in the way as log4jshell problem
is described.

Furthermore if you check the dependencies in Maven itself there is no
dependency to log4j-* ...

To be clear there could be other ways to inject something malicious via
other ways ...

Kind regards
Karl Heinz Marbaise

>
> Regards,
>
> Jörg Sesterhenn
>
> --
> Jörg Sesterhenn
> Hauptreferent
>
> Debeka Krankenversicherungsverein a. G.
> Debeka Lebensversicherungsverein a. G.
> Debeka Allgemeine Versicherung AG
> Debeka Pensionskasse AG
> Debeka Bausparkasse AG
>
> Abteilung IT-Grundlagen & -Engineering
> IT-Prozesse und Automatisierung (IE/P)
> 56058 Koblenz
>
> Telefon: (02 61) 4 98 - 14 55
> Telefax: (02 61) 4 98 - 15 41
>
> E-Mail: joerg.sesterhenn@debeka.de<ma...@debeka.de>
> Internet: www.debeka.de<http://www.debeka.de>
>
> Besuchen Sie uns auch in sozialen Netzwerken.
> Unsere Adressen finden Sie hier: www.debeka.de/socialmedia<http://www.debeka.de/socialmedia>
>
> Pflichtangaben der Debeka-Unternehmen
> gemäß § 35a GmbHG / § 80 AktG: www.debeka.de/pflichtangaben<http://www.debeka.de/pflichtangaben>
>
>

---------------------------------------------------------------------
To unsubscribe, e-mail: users-unsubscribe@maven.apache.org
For additional commands, e-mail: users-help@maven.apache.org