<p>- สาเหตุของปัญหา<br />
→ เมื่อ log4 พิมพ์ล็อก หากในล็อกมีข้อมูลอย่างเช่น ID ผู้ใช้ ระบบจะมีฟังก์ชันที่เชื่อมต่อไปยัง LDAP server ภายในที่ใช้งานอยู่โดยอัตโนมัติเพื่อทำการแปลงค่า<br />
→ หากใช้ฟังก์ชันนี้ แฮ็กเกอร์สามารถทำให้เซิร์ฟเวอร์เชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้โจมตี ดาวน์โหลดโค้ดอันตรายที่ผู้โจมตีสร้างไว้ลงมายังเซิร์ฟเวอร์ และใช้โค้ดนี้เพื่อยึดครองเซิร์ฟเวอร์ได้<br />
- Jenkins ไม่ได้ใช้ log4j จึงไม่มีปัญหา แต่ปลั๊กอินอาจมีการใช้งานได้ จึงจำเป็นต้องตรวจสอบ</p>
ยังไม่มีความคิดเห็น