Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Apache Struts
(2.0.0, 2.5.28.1)
Описание
Функционал JNDI, используемый в конфигурации, сообщениях журнала и параметрах, в Apache Log4j2 не обеспечивает защиту от контролируемых злоумышленником конечных точек LDAP и конечных точек, связанных с JNDI. Злоумышленник, имеющий возможность контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с LDAP-сервера, если включена подстановка при поиске сообщений. Начиная с log4j 2.15.0, данная опция была отключена по умолчанию. Начиная с версии 2.16.0, данный функционал был полностью исключен. Данная уязвимость относится только к log4j-core и отсутствует в log4net, log4cxx или других проектах Apache Logging Services.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://struts.apache.org/
https://struts.apache.org/
Ссылки
Источник: CVE
Наименование: CVE-2021-44228
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44228
https://struts.apache.org/announce-2021#a20211223
Наименование: CVE-2021-44228
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44228
https://struts.apache.org/announce-2021#a20211223