Korrektiewe vrystellings van die Log4j-biblioteek 2.17.1, 2.3.2-rc1 en 2.12.4-rc1 is gepubliseer, wat 'n ander kwesbaarheid regstel (CVE-2021-44832). Daar word genoem dat die probleem voorsiening maak vir afstandkode-uitvoering (RCE), maar gemerk is as benigne (CVSS-telling 6.6) en is hoofsaaklik van slegs teoretiese belang, aangesien dit spesifieke voorwaardes vir uitbuiting vereis - die aanvaller moet veranderinge kan aanbring aan die instellingslΓͺer Log4j, d.w.s. moet toegang tot die aangeval stelsel hΓͺ en die gesag hΓͺ om die waarde van die log4j2.configurationFile-konfigurasieparameter te verander of veranderinge aan bestaande lΓͺers met loginstellings aan te bring.
Die aanval kom daarop neer om 'n JDBC-aanhanger-gebaseerde konfigurasie op die plaaslike stelsel te definieer wat na 'n eksterne JNDI URI verwys, op versoek waarvan 'n Java-klas teruggestuur kan word vir uitvoering. By verstek is JDBC Appender nie gekonfigureer om nie-Java-protokolle te hanteer nie, d.w.s. Sonder om die konfigurasie te verander, is die aanval onmoontlik. Boonop raak die probleem slegs die log4j-kern JAR en raak nie toepassings wat die log4j-api JAR sonder log4j-kern gebruik nie. ...
Bron: opennet.ru