Log4j-kirjaston 2.17.1, 2.3.2-rc1 ja 2.12.4-rc1 korjaavat julkaisut on julkaistu, jotka korjaavat toisen haavoittuvuuden (CVE-2021-44832). Mainitaan, että ongelma mahdollistaa koodin etäsuorittamisen (RCE), mutta se on merkitty hyvänlaatuiseksi (CVSS Score 6.6) ja sillä on lähinnä vain teoreettista merkitystä, koska se vaatii erityisiä ehtoja hyödyntämiselle - hyökkääjän on kyettävä tekemään muutoksia asetustiedosto Log4j, ts. on oltava pääsy hyökättyyn järjestelmään ja valtuudet muuttaa log4j2.configurationFile-määritysparametrin arvoa tai tehdä muutoksia olemassa oleviin tiedostoihin lokiasetuksilla.
Hyökkäys tiivistyy JDBC Appender -pohjaisen kokoonpanon määrittämiseen paikallisessa järjestelmässä, joka viittaa ulkoiseen JNDI-URI:hen, jonka pyynnöstä Java-luokka voidaan palauttaa suoritettaviksi. Oletuksena JDBC Appender ei ole määritetty käsittelemään muita kuin Java-protokollia, ts. Hyökkäys on mahdotonta muuttamatta kokoonpanoa. Lisäksi ongelma vaikuttaa vain log4j-core JAR:iin eikä sovellu sovelluksiin, jotka käyttävät log4j-api JAR:ia ilman log4j-corea. ...
Lähde: opennet.ru