Korrigearjende releases fan 'e Log4j-bibleteek 2.17.1, 2.3.2-rc1 en 2.12.4-rc1 binne publisearre, dy't in oare kwetsberens reparearje (CVE-2021-44832). It wurdt neamd dat it probleem it útfieren fan koade op ôfstân (RCE) mooglik makket, mar wurdt markearre as goedaardige (CVSS Score 6.6) en is benammen fan allinich teoretysk belang, om't it spesifike betingsten foar eksploitaasje fereasket - de oanfaller moat wizigingen kinne meitsje oan it ynstellingsbestân Log4j, d.w.s. moat tagong hawwe ta it oanfallen systeem en de autoriteit om de wearde fan 'e log4j2.configurationFile-konfiguraasjeparameter te feroarjen of wizigingen te meitsjen oan besteande bestannen mei loggingynstellingen.
De oanfal komt del op it definiearjen fan in JDBC Appender-basearre konfiguraasje op it lokale systeem dy't ferwiist nei in eksterne JNDI URI, op fersyk wêrfan in Java-klasse kin wurde weromjûn foar útfiering. Standert is JDBC Appender net ynsteld om net-Java-protokollen te behanneljen, d.w.s. Sûnder de konfiguraasje te feroarjen is de oanfal ûnmooglik. Derneist hat it probleem allinich ynfloed op de log4j-core JAR en hat gjin ynfloed op applikaasjes dy't de log4j-api JAR brûke sûnder log4j-core. ...
Boarne: opennet.ru