log4jのセキュリティ脆弱性の動作原理とJenkinsサーバーの確認方法
(popit.kr)- 問題の原因
→ log4j はログを出力する際、ログ内にユーザーID などがあると、自動的に内部で運用中の LDAP サーバーなどに接続して変換する機能を提供
→ この機能を悪用すると、ハッカーのサーバーに接続して、ハッカーが作成した悪意のあるコードをサーバーにダウンロードさせ、このコードを使ってサーバーを乗っ取ることが可能
- Jenkins は log4j を使用していないため問題はないが、プラグインでは使用している可能性があるため確認が必要
まだコメントはありません。