描述

在配置、日志信息和参数中使用的Apache Log4j 2.x(2.0到2.14.1)JNDI 功能，不能防止攻击者控制LDAP和其他JNDI相关端点。当启用信息查找替换时，可以控制日志信息或日志信息参数的攻击者可以执行从LDAP服务器加载的任意代码。

更多信息可从 Apache Announcement 中获得，并建议升级到最新的 Log4j 2.15.0 或立即应用推荐的防范措施。

问题

CVE ID: CVE-2021-44228 - Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.

Severity: Critical

Base CVSS Score: 10.0

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

受影响的版本

Backup Exec 组件不使用 Log4j2 组件，因此不受此漏洞的影响。不需要进一步的防范。

免责声明

这些安全警告“按原样”提供，以及所有明示或暗示的条件、陈述和保证，包括对适销性、特定用途的适用性或不侵权的任何暗示保证，特此声明不侵权，法律上无效。 VERITAS TECHNOLOGIES LLC 不对与本文档的提供、性能或使用相关的偶然或后果性损害负责。本文档中包含的信息如有更改，恕不另行通知。