다른 취약점이 수정된 Log4j 2.17.1 업데이트

또 다른 취약점(CVE-4-2.17.1)을 수정하는 Log2.3.2j 라이브러리 1, 2.12.4-rc1 및 2021-rc44832의 수정 릴리스가 게시되었습니다. 이 문제는 원격 코드 실행(RCE)을 허용하지만 문제가 없는 것으로 표시되었으며(CVSS 점수 6.6) 악용을 위해서는 특정 조건이 필요하기 때문에 주로 이론적인 관심만 있을 뿐입니다. 공격자는 코드를 변경할 수 있어야 합니다. 설정 파일 Log4j, 즉 공격받은 시스템에 대한 액세스 권한과 log4j2.configurationFile 구성 매개변수의 값을 변경하거나 로깅 설정을 사용하여 기존 파일을 변경할 수 있는 권한이 있어야 합니다.

공격은 요청 시 실행을 위해 Java 클래스가 반환될 수 있는 외부 JNDI URI를 참조하는 JDBC Appender 기반 구성을 로컬 시스템에 정의하는 것으로 요약됩니다. 기본적으로 JDBC Appender는 비Java 프로토콜을 처리하도록 구성되지 않습니다. 구성을 변경하지 않으면 공격이 불가능합니다. 또한 이 문제는 log4j-core JAR에만 영향을 미치며 log4j-core 없이 log4j-api JAR을 사용하는 애플리케이션에는 영향을 주지 않습니다. ...

출처 : opennet.ru