In questo documento viene descritta la posizione di supporto del prodotto relativamente all'assistenza di un'applicazione a marchio.
Panoramica
Questo documento affronta le preoccupazioni relative alla server TIE e alle vulnerabilità elencate di seguito:
Descrizioni
- CVE-2021-4104
JMSAppender in log4j 1.2 è vulnerabile alla deserializzazione di dati non affidabili quando l'autore dell'attacco ha accesso in scrittura alla configurazione di log4j. L'aggressore è in grado di fornire TopicBindingName e TopicConnectionFactoryBindingName configurazioni che causano JMSAppender l'esecuzione di richieste JNDI che portano a un codice in modalità simile a CVE-2021-44228. Questo problema influisce solo su log4j 1.2 quando è configurato per l'utilizzo JMSAppender , che non è l'impostazione predefinita. Apache log4j 1.2 ha raggiunto la fine del ciclo di vita nell'agosto 2015. Gli utenti devono effettuare l'upgrade a log4j 2 poiché risolve numerosi altri problemi delle versioni precedenti.
https://web.nvd.nist.gov/view/vuln/detail?ulnId=CVE-2021-4104
https://CVE.Mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
- CVE-2019-17571
Incluso in log4j 1.2 è una SocketServer classe che è vulnerabile alla deserializzazione di dati non affidabili. Questa classe può essere sfruttata per eseguire in modalità remota codice arbitrario quando viene combinata con un gadget di deserializzazione quando si ascolta il traffico di rete non affidabile per i dati di registro. Questo problema influisce sulle versioni di 1.2 log4j fino a un massimo di 1.2.17 .
https://CVE.Mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571
Ricerca e conclusioni
Il team di server TIE Engineering ha esaminato le vulnerabilità e ha determinato
che non influisce sui server Tie.
- CVE-2021-4104
Server TIE non è vulnerabile, perché JMSAppender non è configurato nella configurazione del registro e server Tie non è in uso JMSAppender .
- CVE-2019-17571
Server TIE non è vulnerabile. Server TIE utilizzo di è di log4J base quando si fa riferimento al registro nel file system locale. Inoltre, server TIE non utilizza l'accodamento di registrazione di rete.