Objavljena su korektivna izdanja biblioteke Log4j 2.17.1, 2.3.2-rc1 i 2.12.4-rc1 koja popravljaju još jednu ranjivost (CVE-2021-44832). Spominje se da problem omogućava daljinsko izvršavanje koda (RCE), ali je označen kao benigni (CVSS Score 6.6) i uglavnom je od samo teoretskog interesa, jer zahtijeva specifične uslove za eksploataciju - napadač mora biti u mogućnosti da izvrši izmjene u fajl postavki Log4j, tj. mora imati pristup napadnutom sistemu i ovlaštenje za promjenu vrijednosti konfiguracijskog parametra log4j2.configurationFile ili unošenje promjena u postojeće datoteke s postavkama evidentiranja.
Napad se svodi na definisanje konfiguracije zasnovane na JDBC Appender-u na lokalnom sistemu koja se odnosi na eksterni JNDI URI, na čiji zahtev se Java klasa može vratiti na izvršenje. Podrazumevano, JDBC Appender nije konfigurisan za rukovanje ne-Java protokolima, tj. Bez promjene konfiguracije, napad je nemoguć. Dodatno, problem utiče samo na log4j-core JAR i ne utiče na aplikacije koje koriste log4j-api JAR bez log4j-core. ...
izvor: opennet.ru