- Causa do problema
→ Quando o log4j imprime logs, se houver um ID de usuário etc. no log, ele oferece uma função que automaticamente acessa internamente um servidor LDAP em operação para fazer a conversão
→ Usando essa função, um invasor pode fazer o servidor se conectar ao servidor dele, baixar um código malicioso criado por ele para o servidor e usar esse código para comprometer o servidor
- O Jenkins não usa log4j, então não há problema, mas como plugins podem usá-lo, é necessário verificar
Ainda não há comentários.