Ce document décrit la position du produit Maintien par rapport à la prise en charge d’une application de marque.
Aperçu
Ce document corrige les problèmes relatifs aux Serveur TIE et aux vulnérabilités répertoriées ci-dessous:
Descriptions
- CVE-2021-4104JMSAppender
dans Log4j 1.2 est vulnérable à la désélection des données non fiables lorsque l’attaquant a accès en écriture à la configuration Log4j.
L’attaquant peut fournir les configurations TopicBindingName et TopicConnectionFactyBindingName , ce qui provoque l’exécution de demandes JMSAppender avec pour résultat l’exécution de code distant d’une façon similaire à CVE-2021-44228. Ce problème affecte uniquement Log4j 1.2 lorsque vous êtes configuré pour utiliser JMSAppender, qui n’est pas la valeur par défaut. Apache Log4j 1.2 a atteint sa fin de vie en août 2015. L’utilisateur doit effectuer la mise à niveau vers Log4j 2, car il résout de nombreux autres problèmes par rapport aux versions précédentes.
https://web.nvd.nist.gov/view/vuln/detail?ulnId=CVE-2021-4104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
- CVE-2019-17571
La classe Log4j 1.2 inclut un serveur SocketServer qui est vulnérable à la deserialisation de données non fiables. Cette classe peut être exploitée pour exécuter à distance du code arbitraire lorsqu’elle est combinée avec une désélection desialisation à l’écoute du trafic réseau non approuvé pour les données de journal. Ce problème concerne les versions Log4j jusqu’à 1.21.2.17.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571
Recherches et conclusions
L’équipe d’ingénierie des Serveur TIE a vérifié les vulnérabilités et a déterminé qu’elles n’affectaient
pas Serveur TIE.
- CVE-2021-4104
Serveur TIE n’est pas vulnérable, car JMSAppender n’est pas configuré dans notre configuration de journal et Serveur TIE n’utilise pas JMSAppender.
- CVE-2019-17571
Serveur TIE n’est pas vulnérable. Serveur TIE’utilisation de log4J est de base lorsque vous faites référence au journal sur le système de fichiers local. Par ailleurs, Serveur TIE n’utilise pas l’application de journalisation réseau.
