История изменений
Исправление abcq, (текущая версия) :
там описано как работает механизм лукапа и субститушена, и написано что когда источником данных служит лдап вы можете иметь гарантии что данные не придут с неподконтрольного хоста путем списка ограничения на то, с каких хостов могут прийти данные. Т.е. они самолично расписались в своей халатности прямо в документации, мол наша хата с краю, вопросы безопасности не наша головная боль.
по хорошему подстановку и лукап для jndi надо было сделать опциональной, а не дефолтной с дисклеймером большими красными буквами в документации, что этот функционал подвергает систему опасности без должной дополнительной настройки.
там реально написано, что дыру можно заюзать, заслав в лог любую строку подходящего формата
там в более мягкой форме это описано, не сказано что прямо все будет интерпретироваться и исполняться, в зависимости от того что и как подставляется, но тем не менее да, там есть вполне очевидные слова о том что это так в такой формулировке "Log4j 2 supports the ability to specify tokens in the configuration as references to properties defined elsewhere. Some of these properties will be resolved when the configuration file is interpreted while others may be passed to components where they will be evaluated at runtime."
Исправление abcq, :
там описано как работает механизм лукапа и субститушена, и написано что когда источником данных служит лдап вы можете иметь гарантии что данные не придут с неподконтрольного хоста путем списка ограничения на то, с каких хостов могут прийти данные. Т.е. они самолично расписались в своей халатности прямо в документации, мол наша хата с краю, вопросы безопасности не наша головная боль.
по хорошему подстановку и лукап для jndi надо было сделать опциональной, а не дефолтной с дисклеймером большими красными буквами в документации, что этот функционал подвергает систему опасности без должной дополнительной настройки.
там реально написано, что дыру можно заюзать, заслав в лог любую строку подходящего формата
там в более мягкой форме это описано, не сказано что прямо все будет интерпретироваться и исполнятся, в зависимости от того что и как подставляется, но тем не менее да, там есть вполне очевидные слова о том что это так в такой формулировке "Log4j 2 supports the ability to specify tokens in the configuration as references to properties defined elsewhere. Some of these properties will be resolved when the configuration file is interpreted while others may be passed to components where they will be evaluated at runtime."
Исправление abcq, :
там описано как работает механизм лукапа и субститушена, и написано что когда источником данных служит лдап вы можете иметь гарантии что данные не придут с неподконтрольного хоста путем списка ограничения на то, с каких хостов могут прийти данные. Т.е. они самолично расписались в своей халатности прямо в документации, мол наша хата с краю, вопросы безопасности не наша головная боль.
по хорошему подстановку и лукап для jndi надо было сделать опциональной, а не дефолтной с дисклеймером большими красными буквами в документации, что этот функционал подвергает систему опасности без должной дополнительной настройки.
Исходная версия abcq, :
там описано как работает механизм лукапа и субститушена, и написано что когда источником данных служит лдап вы можете иметь гарантии что данные не придут с неподконтрольного хоста путем списка ограничения на то, с каких хостов могут прийти данные. Т.е. они самолично расписались в своей халатности прямо в документации, мол наша хата с краю, вопросы безопасности не наша головная боль.