Paskelbti korekciniai Log4j bibliotekos 2.17.1, 2.3.2-rc1 ir 2.12.4-rc1 leidimai, kurie pašalina kitą pažeidžiamumą (CVE-2021-44832). Paminėta, kad problema leidžia vykdyti nuotolinį kodo vykdymą (RCE), tačiau yra pažymėta kaip gerybinė (CVSS Score 6.6) ir daugiausia domina tik teoriškai, nes išnaudojimui reikia specifinių sąlygų – užpuolikas turi turėti galimybę atlikti pakeitimus nustatymų failą Log4j, t.y. turi turėti prieigą prie užpultos sistemos ir teisę keisti log4j2.configurationFile konfigūracijos parametro reikšmę arba keisti esamus failus su registravimo parametrais.
Ataka apsiriboja JDBC priedėliu pagrįstos konfigūracijos apibrėžimu vietinėje sistemoje, kuri nurodo išorinį JNDI URI, kurio prašymu galima grąžinti „Java“ klasę vykdyti. Pagal numatytuosius nustatymus JDBC Apender nėra sukonfigūruotas tvarkyti ne Java protokolus, t.y. Nepakeitus konfigūracijos, ataka neįmanoma. Be to, problema turi įtakos tik log4j-core JAR ir neturi įtakos programoms, kurios naudoja log4j-api JAR be log4j-core. ...
Šaltinis: opennet.ru