Fa'asa'oga fa'asa'o o le Log4j library 2.17.1, 2.3.2-rc1 ma 2.12.4-rc1 ua fa'asalalauina, lea e fa'aleleia ai se isi fa'afitauli (CVE-2021-44832). O loʻo taʻua o le faʻafitauli e faʻatagaina ai le faʻatinoina o le tulafono mamao (RCE), ae o loʻo faʻailogaina e pei o le lelei (CVSS Score 6.6) ma e naʻo le naʻo le fiafia, talu ai e manaʻomia ni tulaga faʻapitoa mo le faʻaaogaina - e tatau i le tagata osofaʻi ona mafai ona faia suiga i. le faila seti Log4j, i.e. e tatau ona i ai le avanoa i le osofaʻiga faiga ma le pule e sui ai le tau o le log4j2.configurationFile configuration parameter poʻo le faia o suiga i faila o loʻo i ai ma faʻamaufaʻailoga.
O le osofaʻiga e faʻafefe i lalo i le faʻamalamalamaina o le JDBC Appender-based configuration i luga o le faʻalapotopotoga faʻapitonuʻu e faasino i se JNDI URI fafo, pe a talosaga e mafai ona toe faʻafoʻi mai se vasega Java mo le faʻataunuʻuina. Ona o le faaletonu, JDBC Appender e le o faʻatulagaina e faʻatautaia tulafono e le-Java, i.e. A aunoa ma le suia o le faʻatulagaga, e le mafai le osofaʻiga. E le gata i lea, o le mataupu e aafia ai le log4j-core JAR ma e le afaina ai talosaga e faʻaogaina le log4j-api JAR e aunoa ma le log4j-core. ...
puna: opennet.ru