የLog4j ቤተ-መጽሐፍት 2.17.1፣ 2.3.2-rc1 እና 2.12.4-rc1 ማስተካከያዎች ታትመዋል፣ ይህም ሌላ ተጋላጭነትን ያስተካክላል (CVE-2021-44832)። ችግሩ የርቀት ኮድ ማስፈጸሚያ (RCE) የሚፈቅድ መሆኑ ተጠቅሷል፣ ነገር ግን ጥሩ ምልክት ተደርጎበታል (CVSS Score 6.6) እና በዋናነት በንድፈ-ሀሳባዊ ፍላጎት ብቻ ነው ፣ ምክንያቱም ለብዝበዛ የተወሰኑ ቅድመ ሁኔታዎችን ይፈልጋል - አጥቂው ለውጦችን ማድረግ መቻል አለበት ። የቅንብሮች ፋይል Log4j, i.e. የተጠቃውን ስርዓት ማግኘት እና የ log4j2.configurationFile ውቅረት መለኪያ እሴትን ለመለወጥ ወይም በነባር ፋይሎች ላይ የመግቢያ መቼቶች ለውጦችን ለማድረግ ባለስልጣን ሊኖረው ይገባል።
ጥቃቱ በጄዲቢሲ አፕንደር ላይ የተመሰረተ ውቅርን በአካባቢያዊ ስርዓት ላይ በመግለጽ ወደ ውጫዊ JNDI URI ሲጠየቅ አንድ የጃቫ ክፍል ለመፈጸም ሊመለስ ይችላል። በነባሪ፣ JDBC Appender የጃቫ ያልሆኑ ፕሮቶኮሎችን ለማስተናገድ አልተዋቀረም ማለትም አወቃቀሩን ሳይቀይሩ ጥቃቱ የማይቻል ነው. በተጨማሪም፣ ችግሩ የሚነካው log4j-core JARን ብቻ ነው እና log4j-api JAR ያለ log4j-core የሚጠቀሙ መተግበሪያዎችን አይነካም። ...
ምንጭ: opennet.ru