Log4j ライブラリ 2.17.1、2.3.2-rc1、および 2.12.4-rc1 の修正リリースが公開されており、別の脆弱性 (CVE-2021-44832) が修正されています。この問題はリモート コード実行 (RCE) を可能にするが、良性 (CVSS スコア 6.6) としてマークされており、悪用には特定の条件が必要であるため、主に理論上の関心のみであることが述べられています。攻撃者は、次の変更を加えることができなければなりません。設定ファイル Log4j、つまり攻撃されたシステムにアクセスでき、log4j2.configurationFile 構成パラメータの値を変更する権限、またはログ設定を含む既存のファイルを変更する権限が必要です。
この攻撃は、要約すると、外部 JNDI URI を参照するローカル システム上で JDBC Appender ベースの構成を定義し、要求に応じて実行のために Java クラスを返すことができます。デフォルトでは、JDBC Appender は非 Java プロトコルを処理するように構成されていません。設定を変更しないと攻撃は不可能です。さらに、この問題は log4j-core JAR にのみ影響し、log4j-core を使用せずに log4j-api JAR を使用するアプリケーションには影響しません。 ...
出所: オープンネット.ru