Daxuyaniyên rastkirî yên pirtûkxaneya Log4j 2.17.1, 2.3.2-rc1 û 2.12.4-rc1 hatine weşandin, ku qelsiyek din rast dike (CVE-2021-44832). Tê gotin ku pirsgirêk destûrê dide darvekirina kodê ji dûr ve (RCE), lê wekî belengaz tê nîşankirin (CVSS Score 6.6) û bi giranî tenê berjewendiya teorîkî ye, ji ber ku ji bo îstismarkirinê şert û mercên taybetî hewce dike - divê êrîşkar bikaribe guhertinan bike. pelê mîhengan Log4j, yanî. pêdivî ye ku xwe bigihîne pergala êrîşkar û desthilatdariya ku nirxa pîvana veavakirina log4j2.configurationFile biguhezîne an jî bi mîhengên têketinê di pelên heyî de guhertinan bike.
Êrîş bi danasîna mîhengek JDBC Appender-ya li ser pergala herêmî ya ku ji JNDI URI-ya derveyî vedibêje, li ser daxwaziya ku jê re dersek Java dikare ji bo darvekirinê were vegerandin vedigire. Ji hêla xwerû, JDBC Appender nayê mîheng kirin ku protokolên ne-Java birêve bibe, yanî. Bêyî guhertina veavakirinê, êrîş ne mimkûn e. Wekî din, pirsgirêk tenê bandorê li log4j-core JAR dike û bandorê li ser sepanên ku log4j-api JAR bêyî log4j-core bikar tînin nake. ...
Source: opennet.ru