Yo pibliye degaje korektif bibliyotèk Log4j 2.17.1, 2.3.2-rc1 ak 2.12.4-rc1, ki ranje yon lòt vilnerabilite (CVE-2021-44832). Yo mansyone ke pwoblèm nan pèmèt pou ekzekisyon kòd aleka (RCE), men li make kòm benign (CVSS Score 6.6) epi li se sitou nan enterè sèlman teyorik, paske li mande kondisyon espesifik pou eksplwatasyon - atakè a dwe kapab fè chanjman nan dosye a anviwònman Log4j, i.e. dwe gen aksè a sistèm atake a ak otorite pou chanje valè log4j2.configurationFile paramèt konfigirasyon an oswa fè chanjman nan dosye ki deja egziste ak paramèt antre.
Atak la se defini yon konfigirasyon ki baze sou JDBC Appender sou sistèm lokal la ki refere a yon URI JNDI ekstèn, sou demann yo ka retounen yon klas Java pou ekzekisyon. Pa default, JDBC Appender pa configuré pou okipe pwotokòl ki pa Java, sa vle di. San yo pa chanje konfigirasyon an, atak la enposib. Anplis de sa, pwoblèm nan sèlman afekte JAR log4j-core epi li pa afekte aplikasyon ki sèvi ak JAR log4j-api san log4j-core. ...
Sous: opennet.ru