Log4j liburutegiaren 2.17.1, 2.3.2-rc1 eta 2.12.4-rc1 bertsio zuzentzaileak argitaratu dira, beste ahultasun bat konpontzen dutenak (CVE-2021-44832). Arazoak urruneko kodea exekutatzeko (RCE) aukera ematen duela aipatzen da, baina onuragarri gisa markatuta dagoela (CVSS Score 6.6) eta batez ere interes teorikoa baino ez duela, ustiatzeko baldintza zehatzak behar dituelako -erasotzaileak aldaketak egiteko gai izan behar du. Log4j ezarpen fitxategia, hau da. Erasotako sistemarako sarbidea izan behar du eta log4j2.configurationFile konfigurazio-parametroaren balioa aldatzeko edo erregistro-ezarpenekin dauden fitxategietan aldaketak egiteko baimena izan behar du.
Erasoa kanpoko JNDI URI bati erreferentzia egiten dion sistema lokalean JDBC Appender-en oinarritutako konfigurazioa definitzean datza, eta horren eskaera eginda Java klase bat itzul daiteke exekutatzeko. Lehenespenez, JDBC Appender ez dago konfiguratuta Java ez diren protokoloak kudeatzeko, hau da. Konfigurazioa aldatu gabe, erasoa ezinezkoa da. Gainera, arazoak log4j-core JAR-ari bakarrik eragiten dio eta ez du log4j-core JAR log4j-core gabe erabiltzen duten aplikazioei eragiten. ...
Iturria: opennet.ru