Tá eisiúintí ceartaitheacha de leabharlann Log4j 2.17.1, 2.3.2-rc1 agus 2.12.4-rc1 foilsithe, rud a shocraíonn leochaileacht eile (CVE-2021-44832). Luaitear go gceadaíonn an fhadhb forghníomhú cianchóid (RCE), ach go bhfuil sé marcáilte mar neamhurchóideach (Scór CVSS 6.6) agus nach mbaineann ach leas teoiriciúil leis go príomha, ós rud é go n-éilíonn sé coinníollacha sonracha maidir le saothrú - ní mór don ionsaitheoir a bheith in ann athruithe a dhéanamh ar an comhad socruithe Log4j, i.e. Ní mór rochtain a bheith aige ar an gcóras ionsaí agus an t-údarás chun luach an pharaiméadar cumraíochta log4j2.configurationFile a athrú nó athruithe a dhéanamh ar chomhaid atá ann cheana féin le socruithe logála.
Baineann an t-ionsaí le cumraíocht JDBC bunaithe ar Aguisín a shainiú ar an gcóras áitiúil a thagraíonn do URI seachtrach JNDI, ar féidir rang Java a chur ar ais lena fhorghníomhú arna iarraidh sin. De réir réamhshocraithe, níl JDBC Appender cumraithe chun prótacail neamh-Java a láimhseáil, i.e. Gan an chumraíocht a athrú, tá an t-ionsaí dodhéanta. Ina theannta sin, ní dhéanann an cheist ach difear don log4j-lárnach JAR agus ní dhéanann sé difear d'iarratais a úsáideann an log4j-api JAR gan log4j-core. ...
Foinse: oscailtenet.ru