Ua paʻi ʻia nā hoʻokuʻu hoʻoponopono o ka waihona Log4j 2.17.1, 2.3.2-rc1 a me 2.12.4-rc1, kahi e hoʻoponopono ai i kahi nāwaliwali (CVE-2021-44832). Ua ʻōlelo ʻia ʻo ka pilikia e hiki ai ke hoʻokō i nā code mamao (RCE), akā ua hōʻailona ʻia ʻo ia he benign (CVSS Score 6.6) a ʻo ia wale nō ka hoihoi theoretical, no ka mea e koi ana i nā kūlana kūikawā no ka hoʻohana ʻana - pono e hiki i ka mea hoʻouka ke hana i nā loli ka waihona hoʻonohonoho Log4j, ʻo ia hoʻi. pono e loaʻa i ka ʻōnaehana hoʻouka ʻia a me ka mana e hoʻololi i ka waiwai o ka log4j2.configurationFile hoʻonohonoho hoʻonohonoho a i ʻole e hoʻololi i nā faila i loaʻa me nā hoʻonohonoho logging.
Hoʻomaka ka hoʻouka ʻana i ka wehewehe ʻana i kahi hoʻonohonoho hoʻonohonoho JDBC Appender ma ka ʻōnaehana kūloko e pili ana i kahi JNDI URI waho, ma ke noi e hiki ke hoʻihoʻi ʻia kahi papa Java no ka hoʻokō. Ma ka paʻamau, ʻaʻole i hoʻonohonoho ʻia ʻo JDBC Appender e mālama i nā protocols non-Java, ʻo ia hoʻi. Me ka hoʻololiʻole i ka hoʻonohonoho, hikiʻole ke hoʻouka. Eia hou, pili wale ka pilikia i ka log4j-core JAR a ʻaʻole pili i nā noi e hoʻohana ana i ka log4j-api JAR me ka ʻole o ka log4j-core. ...
Source: opennet.ru