Log4j kitabxanasının 2.17.1, 2.3.2-rc1 və 2.12.4-rc1 korreksiyaedici buraxılışları dərc olunub, hansı ki, digər zəifliyi aradan qaldırır (CVE-2021-44832). Qeyd olunur ki, problem uzaqdan kodun icrasına (RCE) imkan verir, lakin xeyirxah kimi qeyd olunur (CVSS Score 6.6) və əsasən yalnız nəzəri maraq doğurur, çünki bu, istismar üçün xüsusi şərtlər tələb edir - təcavüzkar öz parametrlərində dəyişiklik edə bilməlidir. parametrlər faylı Log4j, yəni. hücuma məruz qalan sistemə və log4j2.configurationFile konfiqurasiya parametrinin dəyərini dəyişmək və ya giriş parametrləri ilə mövcud fayllara dəyişiklik etmək səlahiyyətinə malik olmalıdır.
Hücum yerli sistemdə xarici JNDI URI-yə istinad edən JDBC Appender-əsaslı konfiqurasiyanın müəyyən edilməsindən ibarətdir, onun tələbi əsasında Java sinfi icra üçün geri qaytarıla bilər. Varsayılan olaraq, JDBC Appender qeyri-Java protokollarını idarə etmək üçün konfiqurasiya edilməyib, yəni. Konfiqurasiyanı dəyişdirmədən hücum mümkün deyil. Bundan əlavə, problem yalnız log4j-core JAR-a təsir edir və log4j-core olmadan log4j-api JAR-dan istifadə edən proqramlara təsir göstərmir. ...
Mənbə: opennet.ru