Ang corrective releases sa Log4j library 2.17.1, 2.3.2-rc1 ug 2.12.4-rc1 na-publish, nga nag-ayo sa laing kahuyangan (CVE-2021-44832). Gihisgutan nga ang problema nagtugot alang sa remote code execution (RCE), apan gimarkahan nga benign (CVSS Score 6.6) ug nag-una sa teoretikal nga interes lamang, tungod kay nagkinahanglan kini og piho nga mga kondisyon alang sa pagpahimulos - ang tig-atake kinahanglan nga makahimo sa mga pagbag-o sa ang mga setting file Log4j, i.e. kinahanglan adunay access sa giatake nga sistema ug ang awtoridad sa pag-usab sa bili sa log4j2.configurationFile configuration parameter o paghimo og mga kausaban sa kasamtangan nga mga file nga adunay mga setting sa pag-log.
Ang pag-atake nagsugod sa pagtino sa usa ka JDBC Appender-based nga configuration sa lokal nga sistema nga nagtumong sa usa ka eksternal nga JNDI URI, sa hangyo diin ang usa ka Java nga klase mahimong ibalik alang sa pagpatuman. Sa kasagaran, ang JDBC Appender wala gi-configure aron pagdumala sa mga non-Java protocol, i.e. Kung walaβy pagbag-o sa pagsumpo, imposible ang pag-atake. Dugang pa, ang isyu makaapekto lamang sa log4j-core JAR ug dili makaapekto sa mga aplikasyon nga naggamit sa log4j-api JAR nga walay log4j-core. ...
Source: opennet.ru