CVE-2021-44228 лог

Источники
Уровень Критический
Удалённо Да
Тип Выполнение произвольного кода
Описание
Apache Log4j2 <=2.14.1 Функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленниками LDAP и других конечных точек, связанных с JNDI. Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. Начиная с log4j 2.15.0, это поведение отключено по умолчанию.

В предыдущих выпусках (> 2.10) это поведение можно смягчить, установив для системного свойства «log4j2.formatMsgNoLookups» значение «true», или его можно смягчить в предыдущих выпусках (< 2.10), удалив класс JndiLookup из пути к классам (пример: zip - q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).
Группа Пакет Затронуто Исправлено Уровень Статус Тикет
AVG-45 zaproxy 2.11.1-1 2.11.1-2 Критический Исправлено
Решение
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44228
https://www.lunasec.io/docs/blog/log4j-zero-day/
© UBLinux. Все права защищены. Разработка и дизайн UB Group.