نسخه های اصلاحی کتابخانه Log4j 2.17.1، 2.3.2-rc1 و 2.12.4-rc1 منتشر شده است که آسیب پذیری دیگری (CVE-2021-44832) را برطرف می کند. ذکر شده است که مشکل اجازه اجرای کد از راه دور (RCE) را می دهد، اما به عنوان خوش خیم (امتیاز CVSS 6.6) علامت گذاری شده است و عمدتاً فقط جنبه نظری دارد، زیرا به شرایط خاصی برای بهره برداری نیاز دارد - مهاجم باید بتواند تغییراتی در آن ایجاد کند. فایل تنظیمات Log4j، یعنی. باید به سیستم مورد حمله دسترسی داشته باشد و اجازه تغییر مقدار پارامتر پیکربندی log4j2.configurationFile یا ایجاد تغییرات در فایلهای موجود با تنظیمات ورود به سیستم را داشته باشد.
این حمله به تعریف یک پیکربندی مبتنی بر JDBC Appender بر روی سیستم محلی خلاصه میشود که به یک URI خارجی JNDI اشاره میکند، که بنا به درخواست آن یک کلاس جاوا میتواند برای اجرا برگردانده شود. بهطور پیشفرض، JDBC Appender برای مدیریت پروتکلهای غیر جاوا پیکربندی نشده است. بدون تغییر پیکربندی، حمله غیرممکن است. علاوه بر این، این مشکل فقط بر روی log4j-core JAR تأثیر می گذارد و بر برنامه هایی که از log4j-api JAR بدون log4j-core استفاده می کنند تأثیر نمی گذارد. ...
منبع: opennet.ru