Chaidh fiosan ceartachaidh de leabharlann Log4j 2.17.1, 2.3.2-rc1 agus 2.12.4-rc1 fhoillseachadh, a tha a’ rèiteachadh so-leòntachd eile (CVE-2021-44832). Thathas ag ainmeachadh gu bheil an duilgheadas a’ ceadachadh cur an gnìomh còd iomallach (RCE), ach tha e air a chomharrachadh mar neo-riaghailteach (Sgòr CVSS 6.6) agus gu ìre mhòr gu bheil ùidh ann an teòiridheach a-mhàin, leis gu bheil feum air suidheachaidhean sònraichte airson brath - feumaidh an neach-ionnsaigh a bhith comasach air atharrachaidhean a dhèanamh air. am faidhle roghainnean Log4j, i.e. feumaidh cothrom a bhith agad air an t-siostam ionnsaigh agus an t-ùghdarras gus luach paramadair rèiteachaidh log4j2.configurationFile atharrachadh no atharrachaidhean a dhèanamh air na faidhlichean a th’ ann mar-thà le roghainnean logaidh.
Tha an ionnsaigh an urra ri bhith a’ mìneachadh rèiteachadh stèidhichte air JDBC Appender air an t-siostam ionadail a tha a’ toirt iomradh air JNDI URI taobh a-muigh, a dh’ fhaodar clas Java a thilleadh airson a chur gu bàs. Gu gnàthach, chan eil JDBC Appender air a rèiteachadh gus protocolaidhean neo-Java a làimhseachadh, i.e. Gun a bhith ag atharrachadh an rèiteachaidh, tha an ionnsaigh do-dhèanta. A bharrachd air an sin, chan eil a’ chùis a ’toirt buaidh ach air an log4j-core JAR agus chan eil e a’ toirt buaidh air tagraidhean a chleachdas an log4j-api JAR gun log4j-core. ...
Source: fosgailtenet.ru