Korektaj eldonoj de la biblioteko Log4j 2.17.1, 2.3.2-rc1 kaj 2.12.4-rc1 estis publikigitaj, kiuj riparas alian vundeblecon (CVE-2021-44832). Estas menciite, ke la problemo ebligas foran kodan ekzekuton (RCE), sed estas markita kiel benigna (CVSS-Poentaro 6.6) kaj estas ĉefe de nur teoria intereso, ĉar ĝi postulas specifajn kondiĉojn por ekspluatado - la atakanto devas povi fari ŝanĝojn al la agorda dosiero Log4j, t.e. devas havi aliron al la atakita sistemo kaj la aŭtoritaton ŝanĝi la valoron de la parametro de agordo log4j2.configurationFile aŭ fari ŝanĝojn al ekzistantaj dosieroj kun registradaj agordoj.
La atako resumas al difinado de JDBC Appender-bazita agordo sur la loka sistemo kiu rilatas al ekstera JNDI URI, laŭ peto de kiu Java klaso povas esti resendita por ekzekuto. Defaŭlte, JDBC Appender ne estas agordita por trakti ne-Javajn protokolojn, t.e. Sen ŝanĝi la agordon, la atako estas neebla. Aldone, la afero nur influas la log4j-kernan JAR kaj ne influas aplikojn kiuj uzas la log4j-api JAR sen log4j-kerno. ...
fonto: opennet.ru