Rilis korektif perpustakaan Log4j 2.17.1, 2.3.2-rc1 dan 2.12.4-rc1 telah diterbitkan, yang memperbaiki kerentanan lain (CVE-2021-44832). Disebutkan bahwa masalah ini memungkinkan eksekusi kode jarak jauh (RCE), tetapi ditandai sebagai tidak berbahaya (Skor CVSS 6.6) dan terutama hanya untuk kepentingan teoritis, karena memerlukan kondisi khusus untuk eksploitasi - penyerang harus dapat membuat perubahan pada file pengaturan Log4j, mis. harus memiliki akses ke sistem yang diserang dan wewenang untuk mengubah nilai parameter konfigurasi log4j2.configurationFile atau membuat perubahan pada file yang ada dengan pengaturan logging.
Serangan tersebut bertujuan untuk mendefinisikan konfigurasi berbasis JDBC Appender pada sistem lokal yang merujuk ke URI JNDI eksternal, berdasarkan permintaan kelas Java dapat dikembalikan untuk dieksekusi. Secara default, JDBC Appender tidak dikonfigurasi untuk menangani protokol non-Java, mis. Tanpa mengubah konfigurasi, serangan tidak mungkin dilakukan. Selain itu, masalah ini hanya memengaruhi JAR log4j-core dan tidak memengaruhi aplikasi yang menggunakan JAR log4j-api tanpa log4j-core. ...
Sumber: opennet.ru