Как исправить ошибку CVE-2021-44228, связанную с log4j

Joe

17.04.2023, 17:38

Есть ли патч для исправления этой уязвимости в ядре? Как мы могли это исправить?

Описание уязвимости:

Apache Log4j2 <=2.14.1 Функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленниками LDAP и других конечных точек, связанных с JNDI. Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. Начиная с log4j 2.15.0, это поведение отключено по умолчанию. В предыдущих выпусках (> 2.10) это поведение можно смягчить, установив для системного свойства «log4j2.formatMsgNoLookups» значение «true», или его можно смягчить в предыдущих выпусках (< 2.10), удалив класс JndiLookup из путь к классам (пример: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).

0 + 0

сообщения об ошибках

20.04

cocomac

17.04.2023, 17:39

Что значит "в ядре"? [Сама Ubuntu не уязвима для log4j](https://askubuntu.com/questions/1380998/is-ubuntu-itself-vulnerable-to-log4shell/)

Ответить

Joe

17.04.2023, 17:41

Я имею в виду обновление репозитория или если нам нужно загрузить исходники, чтобы исправить это..

Ответить

ChanganAuto

17.04.2023, 17:42

Я думаю, вам нужно прочитать ответ, опубликованный выше...

Ответить

user535733

17.04.2023, 18:01

Отвечает ли это на ваш вопрос? [Является ли сама Ubuntu уязвимой для Log4shell?] (https://askubuntu.com/questions/1380998/is-ubuntu-itself-vulnerable-to-log4shell) Или вы спрашиваете, как применять исправления самостоятельно? Или вы о другом спрашиваете? Выяснить, существует ли *патч*, тривиально — поскольку у вас есть номер CVE, Google с радостью сообщит вам об этом. Так что ваш вопрос кажется мне непонятным.

Ответить

Admin

Этот вопрос на других языках:

EN: How to fix CVE-2021-44228 bug related with log4j

TH: วิธีแก้ไขข้อผิดพลาด CVE-2021-44228 ที่เกี่ยวข้องกับ log4j

RO: Cum se remediază eroarea CVE-2021-44228 legată de log4j

RU: Как исправить ошибку CVE-2021-44228, связанную с log4j

VI: Cách sửa lỗi CVE-2021-44228 liên quan đến log4j

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.