リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、1ea05bb8-5d74-11ec-bb1e-001517a2e1a4のアドバイザリに記載されている脆弱性の影響を受けます。

  - 構成、ログメッセージ、およびパラメーターで使用される Apache Log4j2 <=2.14.1 JNDI 機能は、攻撃者が制御する LDAP およびその他の JNDI 関連のエンドポイントから保護しません。メッセージ検索置換が有効な場合、ログメッセージまたはログメッセージパラメーターを制御できる攻撃者が、LDAP サーバーからロードされた任意のコードを実行する可能性があります。log4j 2.15.0以降、この動作はデフォルトで無効になっています。以前のリリース (>2.10) では、システムプロパティ log4j2.formatMsgNoLookups を true に設定するか、リリース (<2.10) より前では、JndiLookup クラスをクラスパスから削除することで、この動作を緩和できます (例: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)。
    (CVE-2021-44228)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

FreeBSD：serviio -- log4j の脆弱性の影響を受けます。(1ea05bb8-5d74-11ec-bb1e-001517a2e1a4)

critical Nessus プラグイン ID 156078

バージョン 1.9