Es wurden Korrekturversionen der Log4j-Bibliothek 2.17.1, 2.3.2-rc1 und 2.12.4-rc1 veröffentlicht, die eine weitere Schwachstelle beheben (CVE-2021-44832). Es wird erwähnt, dass das Problem Remote Code Execution (RCE) ermöglicht, aber als harmlos eingestuft wird (CVSS-Score 6.6) und hauptsächlich nur von theoretischem Interesse ist, da es bestimmte Bedingungen für die Ausnutzung erfordert – der Angreifer muss in der Lage sein, Änderungen daran vorzunehmen die Einstellungsdatei Log4j, d.h. muss Zugriff auf das angegriffene System und die Berechtigung haben, den Wert des Konfigurationsparameters log4j2.configurationFile zu ändern oder Änderungen an vorhandenen Dateien mit Protokollierungseinstellungen vorzunehmen.
Der Angriff läuft darauf hinaus, eine JDBC-Appender-basierte Konfiguration auf dem lokalen System zu definieren, die auf einen externen JNDI-URI verweist, auf dessen Anfrage eine Java-Klasse zur Ausführung zurückgegeben werden kann. Standardmäßig ist der JDBC Appender nicht für die Verarbeitung von Nicht-Java-Protokollen konfiguriert, d. h. Ohne Änderung der Konfiguration ist der Angriff unmöglich. Darüber hinaus betrifft das Problem nur die log4j-core-JAR und keine Anwendungen, die die log4j-api-JAR ohne log4j-core verwenden. ...
Source: opennet.ru