Log4j китепканасынын 2.17.1, 2.3.2-rc1 жана 2.12.4-rc1 түзөтүүчү релиздери басылып чыкты, алар дагы бир кемчиликти оңдошот (CVE-2021-44832). Көйгөй кодду алыстан аткарууга (RCE) мүмкүндүк берет, бирок жакшы деп белгиленет (CVSS 6.6 упайы) жана негизинен теориялык кызыкчылыкты туудурат, анткени ал эксплуатациялоо үчүн конкреттүү шарттарды талап кылат - чабуулчу өзгөртүү киргизе алышы керек. орнотуулар файлы Log4j, б.а. чабуулга кабылган системага жана log4j2.configurationFile конфигурация параметринин маанисин өзгөртүүгө же каттоо орнотуулары менен учурдагы файлдарга өзгөртүүлөрдү киргизүүгө укугу болушу керек.
Чабуул локалдык системадагы JDBC Appender негизиндеги конфигурацияны аныктоого чейин жетет, ал тышкы JNDI URIге шилтеме кылат, анын талабы боюнча Java классы аткаруу үчүн кайтарылып берилиши мүмкүн. Демейки боюнча, JDBC Appender Java эмес протоколдорду иштетүү үчүн конфигурацияланган эмес, б.а. Конфигурацияны өзгөртпөстөн, чабуул мүмкүн эмес. Кошумча, маселе log4j-core JARга гана таасир этет жана log4j-core жок log4j-api JAR колдонгон тиркемелерге таасирин тийгизбейт. ...
Source: opennet.ru