- Penyebab masalah
→ Saat log4 mencetak log, ketika ada ID pengguna dan sebagainya di dalam log, log4 menyediakan fungsi yang secara otomatis mengakses server LDAP internal yang sedang beroperasi untuk melakukan konversi
→ Dengan memanfaatkan fungsi ini, peretas dapat membuat server mengakses server milik peretas, mengunduh kode berbahaya yang dibuat peretas ke server, lalu menggunakan kode tersebut untuk mengambil alih server
- Jenkins tidak menggunakan log4j sehingga tidak bermasalah, tetapi plugin dapat menggunakannya, jadi perlu diperiksa
Belum ada komentar.