Esta declaración soluciona los problemas relacionados con ePO y la vulnerabilidad la Log4j documentada en CVE-2021-44832.
Mitre CVE-2021-44832
CVE-2021-44832
Apache versiones de Log4j2-beta7 a través 2.17.0 de (excluidas las 2.0 versiones 2.3.2 de corrección de seguridad y 2.12.4 ) son vulnerables a un ataque de ejecución remota de código (RCE) en el que un atacante con permiso para modificar el archivo de configuración de registro puede crear una configuración maliciosa mediante un anexador de JDBC con un origen de datos que haga referencia a un URI JNDI que pueda ejecutar código remoto.
Este problema se corrige mediante la limitación de JNDI.
Investigación y conclusiones
Ninguna versión de ePO implementa el Anexador de JDBC. Por lo tanto, ePO no es vulnerable a CVE-2021-44832. No obstante, Incrementaremos nuestra biblioteca de la Log4j a la versión 2.17.1 o posterior en una futura actualización.