Esta declaração trata das preocupações com o ePO e a vulnerabilidade de Log4J documentada no CVE-2021-44832.
O CVE-2021-44832
CVE-2021-44832
Apache versões do Log4j2-Beta7 2.17.0 (excluindo as 2.0 liberações 2.3.2 de correção de segurança e 2.12.4 ) são vulneráveis a um ataque de execução remota de código (RCE), em que um atacante com permissão para modificar a configuração de registro arquivo pode construir uma configuração maliciosa usando um anexador JDBC com uma origem de dados fazendo referência a um URI de JNDI que pode executar código remoto.
Esse problema foi corrigido pela limitação de JNDI.
Pesquisa e conclusões
Nenhuma versão do ePO implementa o appender do JDBC. Portanto, o ePO não é vulnerável ao CVE-2021-44832. Mas vamos incrementar nossa biblioteca do log4j para a versão 2.17.1 ou posterior em uma atualização futura.