Principe de fonctionnement de la faille de sécurité log4j et méthode de vérification d’un serveur Jenkins

<p>- Cause du problème<br /> → lorsque log4 affiche des journaux et que ceux-ci contiennent un identifiant utilisateur, etc., il fournit une fonctionnalité qui se connecte automatiquement en interne à un serveur LDAP en service afin d’effectuer la conversion<br /> → en exploitant cette fonctionnalité, un pirate peut faire en sorte que le serveur se connecte à son propre serveur, télécharge le code malveillant qu’il a créé, puis utilise ce code pour prendre le contrôle du serveur<br /> - Jenkins n’utilise pas log4j, donc il n’y a pas de problème à ce niveau, mais des plugins peuvent l’utiliser, d’où la nécessité de vérifier</p>