עדכון Log4j 2.17.1 עם פגיעות נוספת תוקנה

מהדורות מתקנות של ספריית Log4j 2.17.1, 2.3.2-rc1 ו-2.12.4-rc1 פורסמו, אשר מתקנים פגיעות נוספת (CVE-2021-44832). מוזכר שהבעיה מאפשרת ביצוע קוד מרחוק (RCE), אך מסומנת כשפיר (CVSS Score 6.6) ובעיקר עניין תיאורטי בלבד, מכיוון שהיא דורשת תנאים ספציפיים לניצול - התוקף חייב להיות מסוגל לבצע שינויים ב- קובץ ההגדרות Log4j, כלומר. חייב להיות בעל גישה למערכת המותקפת וסמכות לשנות את הערך של פרמטר התצורה log4j2.configurationFile או לבצע שינויים בקבצים קיימים עם הגדרות רישום.

המתקפה מסתכמת בהגדרת תצורה מבוססת JDBC Appender במערכת המקומית המתייחסת ל-JNDI URI חיצוני, שעל פי בקשתו ניתן להחזיר מחלקה של Java לביצוע. כברירת מחדל, JDBC Appender אינו מוגדר לטפל בפרוטוקולים שאינם Java, כלומר. בלי לשנות את התצורה, ההתקפה בלתי אפשרית. בנוסף, הבעיה משפיעה רק על ה-log4j-core JAR ואינה משפיעה על יישומים המשתמשים ב-log4j-api JAR ללא log4j-core. ...

מקור: OpenNet.ru