Έχουν δημοσιευτεί διορθωτικές εκδόσεις της βιβλιοθήκης Log4j 2.17.1, 2.3.2-rc1 και 2.12.4-rc1, οι οποίες διορθώνουν ένα άλλο θέμα ευπάθειας (CVE-2021-44832). Αναφέρεται ότι το πρόβλημα επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE), αλλά επισημαίνεται ως καλοήθης (Βαθμολογία CVSS 6.6) και έχει κυρίως μόνο θεωρητικό ενδιαφέρον, καθώς απαιτεί συγκεκριμένες συνθήκες για την εκμετάλλευση - ο εισβολέας πρέπει να μπορεί να κάνει αλλαγές σε το αρχείο ρυθμίσεων Log4j, π.χ. πρέπει να έχει πρόσβαση στο σύστημα που δέχεται επίθεση και την εξουσία να αλλάξει την τιμή της παραμέτρου διαμόρφωσης log4j2.configurationFile ή να κάνει αλλαγές σε υπάρχοντα αρχεία με ρυθμίσεις καταγραφής.
Η επίθεση συνοψίζεται στον καθορισμό μιας διαμόρφωσης που βασίζεται σε JDBC Appender στο τοπικό σύστημα που αναφέρεται σε ένα εξωτερικό JNDI URI, κατόπιν αιτήματος του οποίου μια κλάση Java μπορεί να επιστραφεί για εκτέλεση. Από προεπιλογή, το JDBC Appender δεν έχει ρυθμιστεί για να χειρίζεται πρωτόκολλα που δεν είναι Java, π.χ. Χωρίς αλλαγή της διαμόρφωσης, η επίθεση είναι αδύνατη. Επιπλέον, το ζήτημα επηρεάζει μόνο το log4j-core JAR και δεν επηρεάζει εφαρμογές που χρησιμοποιούν το JAR log4j-api χωρίς log4j-core. ...
Πηγή: opennet.ru