| Описание |
Apache Log4j2 <=2.14.1 Функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленниками LDAP и других конечных точек, связанных с JNDI. Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. Начиная с log4j 2.15.0, это поведение отключено по умолчанию.
В предыдущих выпусках (> 2.10) это поведение можно смягчить, установив для системного свойства «log4j2.formatMsgNoLookups» значение «true», или его можно смягчить в предыдущих выпусках (< 2.10), удалив класс JndiLookup из пути к классам (пример: zip - q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). |
