<div dir="ltr">yes, but I am just curious how to add it during deployment step. Log4j is just an example. And in our case, OSP does not have Log4j, our sec team is very new, so they are excited, as it is the first zeroday for them ;) </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 17 Dec 2021 at 18:49, Clark Boylan <<a href="mailto:cboylan@sapwetik.org">cboylan@sapwetik.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Fri, Dec 17, 2021, at 5:31 AM, Ruslanas Gžibovskis LPIC wrote:<br>
> Hi team,<br>
> <br>
> Thanks to this Log4j I finally found time to read around, how to add <br>
> additional settings/options to haproxy config, especially, I would like <br>
> to apply haproxy steps to hide log4j vulns.<br>
> <br>
> I know I know, OSP looks not to be impacted, unless we have some <br>
> components such as opendaylight which might have Log4j applied.<br>
> <br>
> Does anyone has example for yaml file?<br>
> <br>
> Thanks in advance.<br>
<br>
It is my understanding that the log messages magic syntax in log4j is sophisticated enough that filtering via proxies is problematic and unlikely to catch everything. You'll be filtering simple attacks and letting sophisticated actors through. You are much better off upgrading log4j or disabling the JNDI class entirely in the jar. I wouldn't rely on haproxy for this.<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Ruslanas Gžibovskis<br>+370 6030 7030<br></div></div></div>