Des versions correctives de la bibliothèque Log4j 2.17.1, 2.3.2-rc1 et 2.12.4-rc1 ont été publiées, qui corrigent une autre vulnérabilité (CVE-2021-44832). Il est mentionné que le problème permet l'exécution de code à distance (RCE), mais est marqué comme bénin (score CVSS 6.6) et n'a principalement qu'un intérêt théorique, car il nécessite des conditions d'exploitation spécifiques - l'attaquant doit être capable d'apporter des modifications à le fichier de paramètres Log4j, c'est-à-dire doit avoir accès au système attaqué et avoir l'autorité nécessaire pour modifier la valeur du paramètre de configuration log4j2.configurationFile ou apporter des modifications aux fichiers existants avec les paramètres de journalisation.
L'attaque se résume à définir une configuration basée sur JDBC Appender sur le système local qui fait référence à un URI JNDI externe, à la demande duquel une classe Java peut être renvoyée pour exécution. Par défaut, JDBC Appender n'est pas configuré pour gérer les protocoles non Java, c'est-à-dire Sans changer la configuration, l'attaque est impossible. De plus, le problème affecte uniquement le JAR log4j-core et n’affecte pas les applications qui utilisent le JAR log4j-api sans log4j-core. ...
Source: opennet.ru