I versioni currettivi di a libreria Log4j 2.17.1, 2.3.2-rc1 è 2.12.4-rc1 sò stati publicati, chì risolve una altra vulnerabilità (CVE-2021-44832). Hè mintuatu chì u prublema permette l'esekzione di codice remota (RCE), ma hè marcatu cum'è benigna (CVSS Score 6.6) è hè principarmenti di solu interessu teoricu, postu chì esige cundizioni specifichi per sfruttamentu - l'attaccante deve esse capace di fà cambiamenti à u schedariu di paràmetri Log4j, i.e. deve avè accessu à u sistema attaccatu è l'autorità per cambià u valore di u paràmetru di cunfigurazione log4j2.configurationFile o fà cambiamenti à i schedari esistenti cù paràmetri di logging.
L'attaccu si riduce à definisce una cunfigurazione basata in JDBC Appender nantu à u sistema lucale chì si riferisce à un URI JNDI esternu, nantu à a dumanda di quale una classa Java pò esse tornata per l'esekzione. Per automaticamente, JDBC Appender ùn hè micca cunfiguratu per trattà protokolli non-Java, i.e. Senza cambià a cunfigurazione, l'attaccu hè impussibile. Inoltre, u prublema afecta solu u JAR log4j-core è ùn affetta micca l'applicazioni chì utilizanu u JAR log4j-api senza log4j-core. ...
Source: opennet.ru