<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body>
<div dir="ltr" style="">
<div></div>
<div>
<div>Thanks a lot for forking the project.</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">I noticed there is another known “open issue” which has no CVE assigned, but given that the other CVEs expect untrusted config entries, it might be in scope as well?</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">Apache claims that the XML parser is vulnerable to external includes (xxe, billion laughters, ssrf). Should we enable secure processing and restrict remote protocols? If so.. should we do it unconditional or with a system property in case someone
 used really an external entity?</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">From the website:</div>
<div dir="ltr"><br>
</div>
<div dir="ltr">
<h2 style="padding: 4px 4px 4px 6px; border: 1px solid rgb(153, 153, 153); font-weight: 900; font-size: x-large; font-family: Verdana, Helvetica, Arial, sans-serif; color: rgb(153, 0, 0); background-color: rgb(221, 221, 221);">
Other issues of note</h2>
<p style="line-height:1.3em;font-size:small;caret-color:rgb(0, 0, 0);font-family:Verdana, Helvetica, Arial, sans-serif">
Log4j 1 doesn't restrict DTD entities in log4j.xml. Users should be careful to ensure any entities specified are correct and secure.</p>
<br style="caret-color:rgb(0, 0, 0)">
<br>
</div>
<div dir="ltr">BTW I mentioned on Twitter the RedHat backports, it looks like all of them are addressed in reload4j (some slightly different), they can be seen here for example <a href="https://git.centos.org/rpms/log4j/commits/c7">https://git.centos.org/rpms/log4j/commits/c7</a></div>
<div id="ms-outlook-mobile-signature">
<div style="direction:ltr">-- </div>
<div style="direction:ltr">http://bernd.eckenfels.net</div>
</div>
</div>
</div>
</body>
</html>