CVE-2021-44228 Apache Log4j 漏洞对 Veritas System Recovery (VSR) 的影响
Article ID: 100052111
Updated On:
Description
描述
在配置、日志信息和参数中使用的Apache Log4j 2.x(2.0到2.14.1)JNDI 功能,不能防止攻击者控制LDAP和其他JNDI相关端点。当启用信息查找替换时,可以控制日志信息或日志信息参数的攻击者可以执行从LDAP服务器加载的任意代码。
更多信息可从 Apache Announcement 中获得,并建议升级到最新的 Log4j 2.15.0 或立即应用推荐的防范措施。
问题
CVE ID: CVE-2021-44228 - Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.
Severity: Critical
Base CVSS Score: 10.0
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
受影响的版本
Veritas System Recovery 组件不使用 Log4j2 组件,因此不受此漏洞的影响。不需要进一步的防范。
免责声明
这些安全警告“按原样”提供,以及所有明示或暗示的条件、陈述和保证,包括对适销性、特定用途的适用性或不侵权的任何暗示保证,特此声明不侵权,法律上无效。 VERITAS TECHNOLOGIES LLC 不对与本文档的提供、性能或使用相关的偶然或后果性损害负责。本文档中包含的信息如有更改,恕不另行通知。Issue/Introduction
在配置、日志信息和参数中使用的Apache Log4j 2.x(2.0到2.14.1)JNDI 功能,不能防止攻击者控制LDAP和其他JNDI相关端点。当启用信息查找替换时,可以控制日志信息或日志信息参数的攻击者可以执行从LDAP服务器加载的任意代码。
更多信息可从 Apache Announcement 中获得,并建议升级到最新的 Log4j 2.15.0 或立即应用推荐的防范措施。
Was this article helpful?
Yes
No
Powered by
