Este documento describe la posición de mantenimiento de productos relativa a la compatibilidad de una aplicación con marca.
Descripción general
Este documento aborda las preocupaciones sobre el servidor de TIE y las vulnerabilidades que se indican a continuación:
Descripción
- CVE-2021-4104
JMSAppender en la Log4j 1.2 es vulnerable a la deserialización de datos no de confianza cuando el atacante tiene acceso de escritura a la configuración de la log4j. El atacante puede proporcionar TopicBindingName y TopicConnectionFactoryBindingName configuraciones que provocan JMSAppender la realización de solicitudes JNDI que provocan la ejecución remota de código de manera similar a CVE-2021-44228. Este problema solo afecta a la Log4j 1.2 cuando está configurado para usar JMSAppender , que no es el predeterminado. Apache la Log4j 1.2 llegó al final de su ciclo de vida el 2015 de agosto. Los usuarios deben ampliar a la Log4j 2 porque se ocupan de muchos otros problemas de las versiones anteriores.
https://web.nvd.nist.gov/view/vuln/detail?ulnId=CVE-2021-4104
https://CVE.Mitre.org/cgi-bin/cvename.cgi?Name=CVE-2021-4104
- CVE-2019-17571
En la Log4j 1.2 se incluye una clase que es vulnerable a la SocketServer deserialización de datos que no son de confianza. Esta clase se puede aprovechar para ejecutar código arbitrario de forma remota cuando se combina con un gadget de deserialización, cuando se escucha el tráfico de red que no es de confianza para los datos de registro. Este problema afecta a las versiones de 1.2 la Log4j hasta el máximo 1.2.17 de.
https://CVE.Mitre.org/cgi-bin/cvename.cgi?Name=CVE-2019-17571
Investigación y conclusiones
El equipo de ingeniería de servidor de TIE ha revisado las vulnerabilidades
y ha determinado que no afecta a servidor de TIE.
- CVE-2021-4104
Servidor de TIE no es vulnerable, ya JMSAppender que no está configurado en la configuración del registro y no utiliza JMSAppender servidor de TIE.
- CVE-2019-17571
Servidor de TIE no es vulnerable. Servidor de TIE uso de log4J es Basic cuando se hace referencia al registro en el sistema de archivos local. Además, servidor de TIE no utiliza el agregador de registro de red.