遠端主機上安裝的 java-1.7.0-openjdk 版本早於 1.7.0.261-2.6.22.2。遠端主機上安裝的 java-1.8.0-openjdk 版本低於 1.8.0.312.b07-1 版本。遠端主機上安裝的 java-11-amazon-corretto 版本早於 11.0.13+8-2。遠端主機上安裝的 java-17-amazon-corretto 版本早於 17.0.1+12-3。因此，會受到 ALAS2-2021-1731 公告中所提及的多個弱點影響。

  - 在 2 2.0-beta9 版至 2.12.1 版以及 2.13.0 版至 2.15.0 版的 Apache Log4j 中，組態、記錄訊息和參數中使用的 JNDI 功能無法防範受攻擊者控制的 LDAP 和其他 JNDI 相關端點。
    若攻擊者能夠控制記錄訊息或記錄訊息參數，則可在啟用訊息查閱替代時，執行從 LDAP 伺服器載入的任意程式碼。自 log4j 2.15.0 開始，此行為已預設為停用。自 2.16.0 版開始，此功能已完全移除。請注意，此弱點為 log4j-core 特有，不會影響 log4net、log4cxx 或其他 Apache Logging Services 專案。(CVE-2021-44228)

  據發現，在某些非預設組態中，對 Apache Log4j CVE-2021-44228 中位址 2.15.0 的修正不完整。當記錄組態使用具有內容查閱的非預設模式配置 (例如，$${ctx: loginId}) 或執行緒內容對應模式 (%X、%mdc 或 %MDC)，對執行緒內容映射 (MDC) 具有控制權的攻擊者可藉此使用 JNDI Lookup 模式特製惡意輸入資料，進而發動拒絕服務 (DOS) 攻擊。依預設，Log4j 2.15.0 會盡最大努力將 JNDI LDAP 查閱限制為 localhost。Log4j 2.16.0 可透過移除對訊息查閱模式的支援並預設停用 JNDI 功能來修正此問題。(CVE-2021-45046)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

偵測

Amazon Linux 2：java-17-amazon-corretto、java-11-amazon-corretto、java-1.8.0-openjdk、java-1.7.0-openjdk (ALAS-2021-1731)

critical Nessus Plugin ID 156182

版本 1.11