Log4j ಲೈಬ್ರರಿ 2.17.1, 2.3.2-rc1 ಮತ್ತು 2.12.4-rc1 ನ ಸರಿಪಡಿಸುವ ಬಿಡುಗಡೆಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದು ಮತ್ತೊಂದು ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸುತ್ತದೆ (CVE-2021-44832). ಸಮಸ್ಯೆಯು ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ (RCE) ಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಆದರೆ ಹಾನಿಕರವಲ್ಲದ (CVSS ಸ್ಕೋರ್ 6.6) ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ ಮತ್ತು ಇದು ಮುಖ್ಯವಾಗಿ ಸೈದ್ಧಾಂತಿಕ ಆಸಕ್ತಿಯನ್ನು ಹೊಂದಿದೆ, ಏಕೆಂದರೆ ಇದು ಶೋಷಣೆಗೆ ನಿರ್ದಿಷ್ಟ ಷರತ್ತುಗಳ ಅಗತ್ಯವಿರುತ್ತದೆ - ಆಕ್ರಮಣಕಾರರು ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ ಸೆಟ್ಟಿಂಗ್ಗಳ ಫೈಲ್ Log4j, ಅಂದರೆ. ದಾಳಿಗೊಳಗಾದ ಸಿಸ್ಟಮ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು ಮತ್ತು log4j2.configurationFile ಕಾನ್ಫಿಗರೇಶನ್ ಪ್ಯಾರಾಮೀಟರ್ನ ಮೌಲ್ಯವನ್ನು ಬದಲಾಯಿಸುವ ಅಧಿಕಾರವನ್ನು ಹೊಂದಿರಬೇಕು ಅಥವಾ ಲಾಗಿಂಗ್ ಸೆಟ್ಟಿಂಗ್ಗಳೊಂದಿಗೆ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಫೈಲ್ಗಳಿಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಬೇಕು.
ಬಾಹ್ಯ JNDI URI ಅನ್ನು ಉಲ್ಲೇಖಿಸುವ ಸ್ಥಳೀಯ ಸಿಸ್ಟಮ್ನಲ್ಲಿ JDBC ಅನುಬಂಧ-ಆಧಾರಿತ ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು ದಾಳಿಯು ಕುದಿಯುತ್ತದೆ, ಅದರ ವಿನಂತಿಯ ಮೇರೆಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಜಾವಾ ವರ್ಗವನ್ನು ಹಿಂತಿರುಗಿಸಬಹುದು. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, JDBC ಅನುಬಂಧವನ್ನು ಜಾವಾ ಅಲ್ಲದ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿಲ್ಲ, ಅಂದರೆ. ಸಂರಚನೆಯನ್ನು ಬದಲಾಯಿಸದೆ, ದಾಳಿ ಅಸಾಧ್ಯ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಸಮಸ್ಯೆಯು log4j-core JAR ಮೇಲೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು log4j-core ಇಲ್ಲದೆ log4j-api JAR ಅನ್ನು ಬಳಸುವ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ. ...
ಮೂಲ: opennet.ru