تم نشر الإصدارات التصحيحية لمكتبة Log4j 2.17.1 و2.3.2-rc1 و2.12.4-rc1، والتي تعمل على إصلاح ثغرة أمنية أخرى (CVE-2021-44832). يُذكر أن المشكلة تسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE)، ولكن تم تصنيفها على أنها حميدة (CVSS Score 6.6) وهي في الأساس ذات أهمية نظرية فقط، لأنها تتطلب شروطًا محددة للاستغلال - يجب أن يكون المهاجم قادرًا على إجراء تغييرات على ملف الإعدادات Log4j، أي. يجب أن يكون لديك حق الوصول إلى النظام الذي تمت مهاجمته وسلطة تغيير قيمة معلمة التكوين log4j2.configurationFile أو إجراء تغييرات على الملفات الموجودة باستخدام إعدادات التسجيل.
يتلخص الهجوم في تحديد تكوين يستند إلى JDBC Appender على النظام المحلي الذي يشير إلى JNDI URI خارجي، والذي يمكن إرجاع فئة Java بناءً على طلبه للتنفيذ. افتراضيًا، لم يتم تكوين JDBC Appender للتعامل مع البروتوكولات غير التابعة لـ Java، أي. دون تغيير التكوين، الهجوم مستحيل. بالإضافة إلى ذلك، تؤثر المشكلة فقط على log4j-core JAR ولا تؤثر على التطبيقات التي تستخدم log4j-api JAR بدون log4j-core. ...
المصدر: opennet.ru