Korrigerende udgivelser af Log4j-biblioteket 2.17.1, 2.3.2-rc1 og 2.12.4-rc1 er blevet offentliggjort, som løser en anden sårbarhed (CVE-2021-44832). Det nævnes, at problemet giver mulighed for fjernudførelse af kode (RCE), men er markeret som godartet (CVSS Score 6.6) og hovedsageligt kun har teoretisk interesse, da det kræver specifikke betingelser for udnyttelse - angriberen skal kunne foretage ændringer til indstillingsfilen Log4j, dvs. skal have adgang til det angrebne system og bemyndigelse til at ændre værdien af log4j2.configurationFile-konfigurationsparameteren eller foretage ændringer i eksisterende filer med logningsindstillinger.
Angrebet bunder i at definere en JDBC Appender-baseret konfiguration på det lokale system, der refererer til en ekstern JNDI URI, efter anmodning fra hvilken en Java-klasse kan returneres til eksekvering. Som standard er JDBC Appender ikke konfigureret til at håndtere ikke-Java-protokoller, dvs. Uden at ændre konfigurationen er angrebet umuligt. Derudover påvirker problemet kun log4j-core JAR og påvirker ikke applikationer, der bruger log4j-api JAR uden log4j-core. ...
Kilde: opennet.ru