Korrektiv Verëffentlechunge vun der Log4j Bibliothéik 2.17.1, 2.3.2-rc1 an 2.12.4-rc1 goufen publizéiert, déi eng aner Schwachstelle fixéieren (CVE-2021-44832). Et gëtt erwähnt datt de Problem d'Remote Code Ausféierung erlaabt (RCE), awer als benign markéiert ass (CVSS Score 6.6) an haaptsächlech vun nëmmen theoreteschen Interessi ass, well et spezifesch Konditioune fir Ausbeutung erfuerdert - den Ugräifer muss fäeg sinn Ännerungen ze maachen d'Astellungsdatei Log4j, d.h. muss Zougang zum attackéierte System hunn an d'Autoritéit fir de Wäert vum log4j2.configurationFile Konfiguratiounsparameter z'änneren oder Ännerungen an existéierende Dateien mat Logging Astellungen ze maachen.
D'Attack geet erof op d'Definitioun vun enger JDBC Appender-baséiert Konfiguratioun um lokalen System, deen op eng extern JNDI URI bezitt, op Ufro vun där eng Java Klass fir Ausféierung zréckginn kann. Par défaut ass JDBC Appender net konfiguréiert fir Net-Java Protokoller ze handhaben, d.h. Ouni d'Konfiguratioun z'änneren, ass den Attack onméiglech. Zousätzlech beaflosst d'Thema nëmmen de log4j-Core JAR an beaflosst keng Uwendungen déi de log4j-api JAR ouni log4j-Core benotzen. ...
Source: opennet.ru