Ce document décrit la position du support technique par rapport à la prise en charge d’un application de marque.
Présentation
Ce document traite des problèmes liés au serveur TIE et aux vulnérabilités répertoriées ci-dessous :
Description
- CVE-2021-4104
JMSAppender dans log4j 1.2 est vulnérable à la désérialisation des données non approuvées lorsque l’attaquant dispose d’un accès en écriture à la configuration log4j. L’attaquant peut fournir TopicBindingName et TopicConnectionFactoryBindingName configurer la cause JMSAppender pour exécuter des demandes JNDI qui entraînent l’exécution de code à distance de la même manière que CVE-2021-44228. Ce problème n’affecte log4j 1.2 que lorsqu’il est configuré pour utiliser JMSAppender , qui n’est pas la valeur par défaut. Apache log4j 1.2 atteint la fin de vie du 2015 août. Les utilisateurs doivent effectuer une mise à niveau vers log4j 2 , car il résout de nombreux autres problèmes provenant des versions précédentes.
https://web.nvd.nist.gov/view/vuln/detail ?ulnId=CVE-2021-4104
https://CVE.mitre.org/cgi-bin/cvename.cgi ?Name=CVE-2021-4104
- CVE-2019-17571
Inclus dans log4j 1.2 est une SocketServer classe qui est vulnérable à la désérialisation de données non approuvées. Cette classe peut être exploitée pour exécuter du code arbitraire à distance lorsqu’elle est associée à un gadget de désérialisation, lors de l’écoute du trafic réseau non approuvé pour les données de journal. Ce problème affecte les versions log4j jusqu' 1.21.2.17 à.
https://CVE.mitre.org/cgi-bin/cvename.cgi ?Name=CVE-2019-17571
Recherches et conclusions
L’équipe d’ingénierie des serveurs TIE a examiné les vulnérabilités et a déterminé qu’elle n’a
pas d’incidence sur le serveur tie.
- CVE-2021-4104
Le serveur TIE n’est pas vulnérable, car JMSAppender il n’est pas configuré dans notre configuration de journal et le serveur tie n’utilise JMSAppender pas.
- CVE-2019-17571
Le serveur TIE n’est pas vulnérable. L’utilisation du serveur TIE de log4J est fondamentale lorsqu’elle fait référence au Journal du système de fichiers local. En outre, le serveur TIE n’utilise pas l’ajout de journalisation réseau.