Log4j кітапханасының 2.17.1, 2.3.2-rc1 және 2.12.4-rc1 түзету шығарылымдары жарияланды, олар басқа осалдықты түзетеді (CVE-2021-44832). Мәселе қашықтан кодты орындауға (RCE) мүмкіндік беретіні айтылған, бірақ жақсы деп белгіленген (CVSS Score 6.6) және негізінен тек теориялық қызығушылық тудырады, өйткені ол пайдалану үшін нақты шарттарды талап етеді - шабуылдаушыға өзгертулер енгізу мүмкіндігі болуы керек. Log4j параметрлер файлы, яғни. шабуылға ұшыраған жүйеге кіруге және log4j2.configurationFile конфигурация параметрінің мәнін өзгертуге немесе тіркеу параметрлері бар бар файлдарға өзгертулер енгізуге рұқсаты болуы керек.
Шабуыл сұрауы бойынша Java сыныбын орындау үшін қайтаруға болатын сыртқы JNDI URI-ге сілтеме жасайтын жергілікті жүйеде JDBC Appender негізіндегі конфигурацияны анықтауға дейін созылады. Әдепкі бойынша, JDBC Appender Java емес протоколдарды өңдеу үшін конфигурацияланбаған, яғни. Конфигурацияны өзгертпестен, шабуыл мүмкін емес. Бұған қоса, мәселе тек log4j-ядролық JAR-ға әсер етеді және log4j-ядросыз log4j-api JAR қолданатын қолданбаларға әсер етпейді. ...
Ақпарат көзі: opennet.ru