21/12/25 20:25:19.75 xy41Jf5n.net
>>810
Alibaba Cloud セキュリティチームのChen Zhaojunは、Java用の一般的なLogging FrameworkであるApache Log4jに重大なセキュリティ脆弱性があることを発見しました。設定、ログメッセージ、パラメータで使用されるJNDI機能は、攻撃者が制御するLDAPや他のJNDI関連エンドポイントから保護されていません。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージルックアップ置換が有効な場合、LDAPサーバから読み込まれた任意のコードを実行することができます。バージョン 2.15.0 以降、この動作はデフォルトで無効化されています。