Avaldatud on Log4j teegi 2.17.1, 2.3.2-rc1 ja 2.12.4-rc1 parandusväljaanded, mis parandavad veel ühe haavatavuse (CVE-2021-44832). Mainitakse, et probleem võimaldab koodi kaugkäivitamist (RCE), kuid on märgitud healoomuliseks (CVSS Score 6.6) ja on peamiselt vaid teoreetiliselt huvipakkuv, kuna selle ärakasutamiseks on vaja spetsiifilisi tingimusi – ründaja peab saama teha muudatusi seadete fail Log4j, st. peab olema juurdepääs rünnatavale süsteemile ja õigus muuta konfiguratsiooniparameetri log4j2.configurationFile väärtust või teha muudatusi olemasolevates logisätetega failides.
Rünnak taandub JDBC lisadepõhise konfiguratsiooni määratlemisele kohalikus süsteemis, mis viitab välisele JNDI URI-le, mille nõudmisel saab käivitamiseks tagastada Java klassi. Vaikimisi ei ole JDBC Appender konfigureeritud käsitlema mitte-Java protokolle, st. Konfiguratsiooni muutmata on rünnak võimatu. Lisaks mõjutab probleem ainult log4j-core JAR-i ega mõjuta rakendusi, mis kasutavad log4j-api JAR-i ilma log4j-core-ta. ...
Allikas: opennet.ru