Este documento descreve a posição de sustentação do produto em relação ao suporte de um aplicativo com marca.
Visão geral
Este documento aborda as preocupações com o servidor TIE e as vulnerabilidades listadas abaixo:
Descrições de
- O CVE-2021-4104
JMSAppender no Log4J 1.2 é vulnerável à desserialização de dados não confiáveis quando o atacante tem acesso de gravação à configuração do log4j. O atacante pode fornecer TopicBindingName e TopicConnectionFactoryBindingName configurações JMSAppender que detenham executar solicitações de JNDI que resultem na execução remota de código de maneira semelhante ao CVE-2021-44228. Esse problema afeta o Log4J 1.2 apenas quando configurado para usar JMSAppender , que não é o padrão. Apache Log4J 1.2 atingiu o fim da vida útil em 2015 de agosto. Os usuários devem upgrade para o Log4J 2 , uma vez que ele resolve vários outros problemas das versões anteriores.
https://web.nvd.nist.gov/view/vuln/detail?ulnId=CVE-2021-4104
https://CVE.mitre.org/cgi-bin/cvename.cgi?Name=CVE-2021-4104
- CVE-2019-17571
Incluído no Log4J 1.2 é uma SocketServer classe que é vulnerável à desserialização de dados não confiáveis. Essa classe pode ser explorada para executar código arbitrário de forma remota quando combinada com um gadget de desserialização, ao ouvir o tráfego de rede não confiável para dados de registro. Esse problema afeta as versões do log4j até 1.21.2.17 .
https://CVE.mitre.org/cgi-bin/cvename.cgi?Name=CVE-2019-17571
Pesquisa e conclusões
A equipe de engenharia do servidor TIE analisou as vulnerabilidades e determinou que ela
não afeta o servidor tie.
- CVE-2021-4104
O servidor TIE não está vulnerável, pois JMSAppender não está configurado em nossa configuração de log, e o servidor tie não está usando JMSAppender .
- CVE-2019-17571
O servidor TIE não está vulnerável. O uso do servidor TIE do log4J é básico ao se referir ao registro no sistema de arquivo local. Além disso, o servidor TIE não usa o anexador de log de rede.