มีโปรแกรมแก้ไขเพื่อแก้ไขช่องโหว่นี้ในคอร์หรือไม่? เราจะแก้ไขปัญหานี้ได้อย่างไร
คำอธิบายช่องโหว่:
Apache Log4j2 <=2.14.1 คุณลักษณะ JNDI ที่ใช้ในการกำหนดค่า ข้อความบันทึก และพารามิเตอร์ไม่ได้ป้องกัน LDAP ที่ควบคุมโดยผู้โจมตีและจุดสิ้นสุดที่เกี่ยวข้องกับ JNDI อื่นๆ ผู้โจมตีที่สามารถควบคุมข้อความบันทึกหรือพารามิเตอร์ข้อความบันทึกสามารถเรียกใช้รหัสที่กำหนดเองซึ่งโหลดจากเซิร์ฟเวอร์ LDAP เมื่อเปิดใช้งานการแทนที่การค้นหาข้อความ จาก log4j 2.15.0 ลักษณะการทำงานนี้ถูกปิดใช้งานโดยค่าเริ่มต้น ในรีลีสก่อนหน้า (>2.10) ลักษณะการทำงานนี้สามารถบรรเทาได้โดยการตั้งค่าคุณสมบัติของระบบ âlog4j2.formatMsgNoLookupsâ เป็น âtrueâ หรือสามารถบรรเทาได้ในรีลีสก่อนหน้า (<2.10) โดยลบคลาส JndiLookup ออกจาก classpath (ตัวอย่าง: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
