Sono state pubblicate versioni correttive della libreria Log4j 2.17.1, 2.3.2-rc1 e 2.12.4-rc1 che risolvono un'altra vulnerabilità (CVE-2021-44832). Viene menzionato che il problema consente l'esecuzione di codice in modalità remota (RCE), ma è contrassegnato come benigno (punteggio CVSS 6.6) ed è principalmente di interesse solo teorico, poiché richiede condizioni specifiche per lo sfruttamento: l'aggressore deve essere in grado di apportare modifiche a il file delle impostazioni Log4j, ovvero deve avere accesso al sistema attaccato e l'autorità per modificare il valore del parametro di configurazione log4j2.configurationFile o apportare modifiche ai file esistenti con le impostazioni di registrazione.
L'attacco si riduce alla definizione di una configurazione basata su JDBC Appender sul sistema locale che fa riferimento a un URI JNDI esterno, su richiesta del quale può essere restituita una classe Java per l'esecuzione. Per impostazione predefinita, JDBC Appender non è configurato per gestire protocolli non Java, ad es. Senza modificare la configurazione, l'attacco è impossibile. Inoltre, il problema riguarda solo il JAR log4j-core e non riguarda le applicazioni che utilizzano il JAR log4j-api senza log4j-core. ...
Fonte: opennet.ru