Es wurden Korrekturversionen der Log4j-Bibliothek 2.17.1, 2.3.2-rc1 und 2.12.4-rc1 veröffentlicht, die eine weitere Sicherheitsanfälligkeit (CVE-2021-44832) beheben. Es wird darauf hingewiesen, dass das Problem die Möglichkeit zur Remote-Code-Ausführung (RCE) bietet, jedoch als nicht gefährlich eingestuft ist (CVSS-Score 6.6) und größtenteils nur theoretisches Interesse darstellt, da spezifische Bedingungen für die Ausnutzung erforderlich sind – der Angreifer muss in der Lage sein, Änderungen an der Log4j-Konfigurationsdatei vorzunehmen, d.h. er muss Zugriff auf das angegriffene System haben und über die Berechtigungen verfügen, den Wert des Konfigurationsparameters log4j2.configurationFile zu ändern oder Änderungen an bestehenden Protokolldateien vorzunehmen.
Der Angriff basiert auf der Konfiguration des JDBC Appender in einem lokalen System, der auf eine externe JNDI-URI verweist. Bei einer Anfrage kann eine Java-Klasse zur Ausführung zurückgegeben werden. Standardmäßig ist der JDBC Appender nicht für die Verarbeitung von Protokollen außer Java konfiguriert, d.h. ohne Änderungen an der Konfiguration ist der Angriff nicht möglich. Außerdem tritt das Problem nur in der JAR-Datei log4j-core auf und betrifft nicht Anwendungen, die die JAR-Datei log4j-api ohne log4j-core verwenden. …
Quelle: opennet.ru
