Ebipụtala ndozi nke ọbá akwụkwọ Log4j 2.17.1, 2.3.2-rc1 na 2.12.4-rc1, nke na-edozi adịghị ike ọzọ (CVE-2021-44832). A na-ekwu na nsogbu ahụ na-enye ohere maka mkpochapụ koodu dịpụrụ adịpụ (RCE), mana akara ya dị ka benign (CVSS Score 6.6) ma bụrụ nke kachasị mmasị naanị usoro iwu, ebe ọ na-achọ ọnọdụ kpọmkwem maka nrigbu - onye na-awakpo ahụ ga-enwe ike ime mgbanwe. faịlụ ntọala Log4j, i.e. ga-enwerịrị ike ịnweta sistemu a wakporo yana ikike ịgbanwe uru nke log4j2.configurationFile nhazi paramita ma ọ bụ mee mgbanwe na faịlụ ndị dị na ntọala ndekọ.
Mwakpo a gbadara iji kọwaa nhazi dabere na JDBC Appender na sistemụ mpaghara nke na-ezo aka na JNDI URI dị n'èzí, mgbe a rịọrọ ya nke enwere ike iweghachi klas Java maka igbu ya. Site na ndabara, ahazighị JDBC Appender ka ọ na-ejikwa ụkpụrụ ndị na-abụghị Java, i.e. Na-enweghị ịgbanwe nhazi, ọgụ agaghị ekwe omume. Na mgbakwunye, okwu a na-emetụta naanị log4j-core JAR na anaghị emetụta ngwa ndị na-eji log4j-api JAR na-enweghị log4j-core. ...
isi: opennet.ru