Հրապարակվել են Log4j գրադարանի 2.17.1, 2.3.2-rc1 և 2.12.4-rc1 ուղղիչ թողարկումները, որոնք ամրագրում են ևս մեկ խոցելիություն (CVE-2021-44832): Նշվում է, որ խնդիրը թույլ է տալիս հեռակա կոդի կատարում (RCE), սակայն նշվում է որպես բարենպաստ (CVSS Score 6.6) և հիմնականում միայն տեսական հետաքրքրություն է ներկայացնում, քանի որ այն պահանջում է հատուկ պայմաններ շահագործման համար. հարձակվողը պետք է կարողանա փոփոխություններ կատարել։ կարգավորումների ֆայլը Log4j, այսինքն. պետք է մուտք ունենա հարձակման ենթարկված համակարգ և իրավասություն փոխելու log4j2.configurationFile կազմաձևման պարամետրի արժեքը կամ փոփոխություններ կատարելու առկա ֆայլերում գրանցման կարգավորումներով:
Հարձակումը հանգում է նրան, որ տեղական համակարգում սահմանվում է JDBC հավելվածի վրա հիմնված կոնֆիգուրացիա, որը վերաբերում է արտաքին JNDI URI-ին, որի պահանջով Java դասը կարող է վերադարձվել կատարման: Լռելյայնորեն, JDBC Appender-ը կազմաձևված չէ ոչ Java արձանագրություններով աշխատելու համար, այսինքն. Առանց կոնֆիգուրացիան փոխելու, հարձակումն անհնար է: Բացի այդ, խնդիրն ազդում է միայն log4j-core JAR-ի վրա և չի ազդում այն հավելվածների վրա, որոնք օգտագործում են log4j-api JAR առանց log4j-core: ...
Source: opennet.ru