Megjelent a Log4j könyvtár 2.17.1, 2.3.2-rc1 és 2.12.4-rc1 javító kiadása, amelyek egy másik biztonsági rést (CVE-2021-44832) javítanak ki. Megemlítik, hogy a probléma lehetővé teszi a távoli kódvégrehajtást (RCE), de jóindulatúnak van megjelölve (CVSS Score 6.6), és főleg csak elméleti jelentőségű, mivel speciális feltételeket igényel a kihasználáshoz - a támadónak képesnek kell lennie arra, hogy módosítsa a kódot. a Log4j beállítási fájl, azaz. hozzáféréssel kell rendelkeznie a megtámadott rendszerhez, és jogosultsággal kell rendelkeznie a log4j2.configurationFile konfigurációs paraméter értékének módosítására vagy a meglévő fájlok módosítására a naplózási beállításokkal.
A támadás egy JDBC Appender alapú konfiguráció meghatározásában merül ki a helyi rendszeren, amely egy külső JNDI URI-ra hivatkozik, és amely kérésére egy Java osztályt vissza lehet küldeni végrehajtásra. Alapértelmezés szerint a JDBC Appender nincs beállítva a nem Java protokollok kezelésére, pl. A konfiguráció megváltoztatása nélkül a támadás lehetetlen. Ezenkívül a probléma csak a log4j-core JAR-t érinti, és nem érinti azokat az alkalmazásokat, amelyek a log4j-api JAR-t log4j-core nélkül használják. ...
Forrás: opennet.ru