Апублікаваны карэкціруючыя выпускі бібліятэкі Log4j 2.17.1, 2.3.2-rc1 і 2.12.4-rc1, у якіх ухіленая яшчэ адна ўразлівасць (CVE-2021-44832). Згадваецца, што праблема дазваляе арганізаваць выдаленае выкананне кода (RCE), але пры гэтым пазначана як бяспечная (CVSS Score 6.6) і ў асноўным уяўляе толькі тэарэтычны інтарэс, бо патрабуе спецыфічных умоў для эксплуатацыі — атакавалы павінен мець магчымасць унесці змену ў файл з наладамі Log4j, г.зн. павінен мець доступ да атакаванай сістэмы і паўнамоцтвы змяняць значэнне параметра канфігурацыі log4j2.configurationFile ці ўносіць змены ў існыя файлы c наладамі для вядзення лога.
Атака зводзіцца да вызначэння на лакальнай сістэме канфігурацыі на базе JDBC Appender, якая спасылаецца на вонкавы JNDI URI, пры запыце якога можа быць вернуты Java-клас для выканання. Па змаўчанні JDBC Appender не наладжаны для апрацоўкі пратаколаў, выдатных ад Java, г.зн. без змены канфігурацыі атака немагчымая. Акрамя таго, праблема выяўляецца толькі ў JAR-файле log4j-core і не закранае прыкладанні, якія выкарыстоўваюць JAR-файл log4j-api без log4j-core. …
Крыніца: opennet.ru