log4jのセキュリティ脆弱性の動作原理とJenkinsサーバーの確認方法
(popit.kr)<p>- 問題の原因<br />
→ log4j はログを出力する際、ログ内にユーザーID などがあると、自動的に内部で運用中の LDAP サーバーなどに接続して変換する機能を提供<br />
→ この機能を悪用すると、ハッカーのサーバーに接続して、ハッカーが作成した悪意のあるコードをサーバーにダウンロードさせ、このコードを使ってサーバーを乗っ取ることが可能<br />
- Jenkins は log4j を使用していないため問題はないが、プラグインでは使用している可能性があるため確認が必要</p>
まだコメントはありません。