Mae datganiadau cywirol o lyfrgell Log4j 2.17.1, 2.3.2-rc1 a 2.12.4-rc1 wedi'u cyhoeddi, sy'n trwsio bregusrwydd arall (CVE-2021-44832). Sonnir bod y broblem yn caniatΓ‘u gweithredu cod o bell (RCE), ond mae wedi'i nodi'n ddiniwed (SgΓ΄r CVSS 6.6) a'i bod yn bennaf o ddiddordeb damcaniaethol yn unig, gan fod angen amodau penodol ar gyfer ymelwa - rhaid i'r ymosodwr allu gwneud newidiadau i y ffeil gosodiadau Log4j, h.y. rhaid cael mynediad i'r system ymosod a'r awdurdod i newid gwerth y paramedr cyfluniad log4j2.configurationFile neu wneud newidiadau i ffeiliau presennol gyda gosodiadau logio.
Mae'r ymosodiad yn ymwneud Γ’ diffinio cyfluniad seiliedig ar Atodiad JDBC ar y system leol sy'n cyfeirio at URI JNDI allanol, y gellir dychwelyd dosbarth Java ar gais i'w weithredu. Yn ddiofyn, nid yw JDBC Appender wedi'i ffurfweddu i drin protocolau nad ydynt yn rhai Java, h.y. Heb newid y cyfluniad, mae'r ymosodiad yn amhosibl. Yn ogystal, mae'r mater yn effeithio ar y JAR log4j-core yn unig ac nid yw'n effeithio ar gymwysiadau sy'n defnyddio'r log4j-api JAR heb log4j-core. ...
Ffynhonnell: opennet.ru